Freak Attack, dati privati a rischio per chi naviga sul web

Apple e Google stanno entrambe lavorando per correggere una falla di sicurezza vecchia almeno dieci anni che potrebbe lasciare i milioni di utenti del browser web dei loro telefoni cellulari vulnerabili all’attacco di hacker.

E’ stato infatti scoperto un bug legato alla crittografia delle pagine weg che è stato chiamato "FREAK attack".

Il nome "Heartbleed" potrebbe ricordarvi qualcosa. E’ stato così chiamato il bug che nel 2014 ha colpito in maniera abbastanza significativa la sicurezza nel web. Nella sua essenza, si trattava di un difetto che affliggeva il protocollo diffuso TLS (Transport Layer Security), utilizzato per proteggere le connessioni HTTP. Tale problema è stato affrontato rapidamente con una patch di emergenza per la libreria di crittografia OpennSSL che conteneva la vulnerabilità. "FREAK attack" è qualcosa di simile perchè colpisce i protocolli SSL/TLS, ampiamente utilizzati per proteggere le connessioni online. Questo nuovo exploit, tuttavia, non è solo limitato ai server, ma potrebbe mettere anche i browser a rischio.

Gli utenti di Safari di Apple e del browser di Android di Google sono affetti dal bug, e quindi potenzialmente vulnerabili agli hacker. Secondo i ricercatori contattati dal Washington Post, il bug risale almeno a dieci anni fa.

Come sono vulnerabili gli utenti? Le comunicazioni elettroniche potrebbero essere intercettate quando si visita una delle centinaia di migliaia di siti web la cui connessione richiede la crittografia, tra cui anche siti governativi come Whitehouse.gov, NSA.gov e FBI.gov.

I ricercatori hanno detto che non ci sono prove che degli hacker hanno sfruttato la vulnerabilità, ed hanno accusato gli Stati Uniti di aver sempre vietato politicamente alle società statunitensi di aggiornare gli standard di crittografia, secondo il giornale. Le restrizioni sono state revocate alla fine del 1990, ma gli standard più deboli erano già parte di alcuni software ampiamente utilizzati in tutto il mondo, tra cui i browser web che si trovano nei dispositivi Apple e Google.

Apple e Google hanno detto che sono alla ricerca di aggiornamenti per risolvere la vulnerabilità. Apple ha detto a CNET che distribuirà la sua correzione la prossima settimana, mentre Google ha detto al WSJ che risolverà il bug rilasciando un aggiornamento ai produttori di dispositivi e agli operatori wireless (bisogna poi vedere se questi aggiorneranno tutti i firmware dei loro telefoni).

Il bug è emerso un paio di settimane fa, quando un gruppo di ricercatori hanno scoperto che la crittografia in alcuni siti web poteva essere violata nel giro di poche ore. Una volta che la crittografia di un sito viene violata, gli hacker hanno la possibilità di rubare i dati degli utenti (come le password) e dirottare il navigatore in altre pagine web, ha scritto il WSJ.

I ricercatori hanno messo in guardia il governo degli Stati uniti per via dei suoi siti a rischio e sono stati avvisati anche i proprietari di siti web commerciali almeno da un paio di settimane nella speranza che ciascuno possa prendere provvedimenti prima che la vulnerabilità cominci ad essere sfruttata dagli hacker, ora che la sua esistenza è stata pubblicizzata.

Vi terremo aggiornati sugli sviluppi della situazione.