Een nieuwe week, een nieuwe kwetsbaarheid, zo lijkt het wel. Deze keer gaat het om "Freak", een kwetsbaarheid waardoor de beveiliging van een SSL- of een TSL verbdinding doorbroken wordt, zodat een zogenaamde "man in the middle" aanval mogelijk wordt. Daarbij doet een malware of een booswicht zich voor als de beveiligde site die jij denkt te bezoeke, en geef je dus je privaatgegevens (login, paswoord, enz.) door aan die derde, in plaats van aan de eigenlijke site.
Het bijzondere aan deze "Freak" is dat je hiervoor eigenlijk de Amerikaanse overheid met de vinger moet wijzen. In de jaren negentig wou die immers verhinderen dat sterke encryptie geëxpporteerd zou worden. Software die naar het buitenland ging, mocht enkel een lagere vorm van encryptie bevatten. Maar door de jaren heen is die lagere vorm overal ingeburgerd geraakt, en zelfs teruggekomen naar de VS, waar zij ook op sites zoals die van de Amerikaanse overheid terecht gekomen is - met dus het gevaar op aanvallen. Washington Post heeft het verhaal (1)
Apple heeft al aangekondigd dat het volgende week een fix zal uitbrengen om deze bug te verhelpen. Google van zijn kant heeft een fix die het zijn partners aanbiedt, maar het hangt van hen af wanneer zij die aan de eindgebruiker zullen doorgeven. (2) http://www.washingtonpost.com/blogs/the-switch/wp/2015/03/03 ...
http://www.reuters.com/article/2015/03/03/us-apple-cybersecu ...
|