3/04/2015

FREAK攻撃

SSL/TLS通信で、MITMなどによって暗号強度をエクスポートグレードRSAにダウングレードされてしまう攻撃が指摘されている。エクスポートグレードRSAは、Amazon ECを借りれば安価に解読できるレベル。OpenSSLの脆弱性(CVE-2015-0204)は1月に公表され、修正もされている。今騒がれているのは、1400万のウェブサイトをスキャンした結果、信頼できるサイトの36%以上が、アレクサのトップ100万では12.2%が、とうに廃止された弱い暗号スイートをサポートしていること(FREAK Attack)。加え、多くの人が利用しているApple Safari(iOS/Macとも)やAndroidブラウザにこの攻撃を受ける影響があるためと思われる。Appleは来週中に修正すると表明しており、AndroidはChromeブラウザを利用すればよい。

Matthew Green's blogAkamai blogSMACKSlashdot