安全專家警告，一個潛伏多年的安全漏洞將危及計算機(jī)與網(wǎng)頁間的加密連接，導(dǎo)致蘋果和谷歌產(chǎn)品的用戶在訪問數(shù)十萬網(wǎng)站時遭到攻擊，包括白宮、國家安全局和聯(lián)邦調(diào)查局的網(wǎng)站，并危及世界互聯(lián)網(wǎng)安全。

該漏洞被稱為“瘋怪”(Freak)，是一個針對安全套接層協(xié)議(SSL)以及傳輸層安全協(xié)議(TSL)的漏洞。通過它，攻擊者將得以實施中間人竊聽攻擊。該漏洞危及到大量網(wǎng)站、蘋果的Safari瀏覽器、谷歌的Android操作系統(tǒng)，以及使用早于1.0.1k版本的OpenSSL的用戶。

問題起源于美國在上世紀(jì)90年代早期施行的出口限制政策，它禁止了美國的軟件制造商向海外出口帶有高級加密功能的產(chǎn)品。當(dāng)出口限制政策放寬后，由于有些軟件仍舊依賴于舊版加密協(xié)議，出口版產(chǎn)品的加密功能依然沒有得到升級。瘋怪使得攻擊者能夠?qū)踩院軓?qiáng)的加密連接降級成“出口級”，從而使其易于攻破。

很多谷歌和蘋果的產(chǎn)品，以及嵌入式系統(tǒng)都使用OpenSSL協(xié)議，這些服務(wù)器和設(shè)備都將受到威脅。使用RSA_EXPORT加密套件的設(shè)備均有風(fēng)險，瘋怪(FREAK)漏洞的名稱正取自于“RSA_EXPORT素數(shù)攻擊”的英文首字母(Factoring attack on RSA-EXPORT Keys)。

攻擊者在加密連接的建立過程中進(jìn)行中間人攻擊，可以繞過SSL/TLS協(xié)議的保護(hù)，完成密鑰降級。降級后的512位密鑰可以被性能強(qiáng)大的電腦破解。

當(dāng)今的協(xié)議使用更長的加密密鑰，比如作為加密標(biāo)準(zhǔn)的2048位RSA。512位密鑰在20年前屬于安全的加密方法，但今天的攻擊者利用公有云服務(wù)將很容易破解這些短密鑰。

上世紀(jì)90年代，破解512位密鑰需要大量計算;如今利用亞馬遜彈性計算云，則只需要大約7小時，花費100美元。

企業(yè)在修補(bǔ)漏洞方面動作迅速。蘋果和谷歌均表示，已經(jīng)開發(fā)了補(bǔ)丁，并將很快向用戶推送。CDN服務(wù)商Akamai公司的負(fù)責(zé)人表示，已經(jīng)對其網(wǎng)絡(luò)進(jìn)行修補(bǔ)，但是很多客戶端仍暴露在風(fēng)險中。“我們沒辦法修補(bǔ)客戶端，但是我們可以通過禁用‘出口級’密碼來解決該問題。這個漏洞的起源在客戶端，我們已經(jīng)在和客戶聯(lián)系，讓他們進(jìn)行變更了”。

該漏洞由微軟研究院和法國國家信息與自動化研究所共同發(fā)現(xiàn)。關(guān)于瘋怪漏洞的學(xué)術(shù)論文將在今年五月份舉行的IEEE安全與隱私會議上發(fā)表。