Nonostante Apple abbia rilasciato una patch sembra che alcune applicazioni per iOS siano ancora vulnerabili a FREAK.
Secondo quanto riportato da alcuni ricercatori di FireEye sembra che diverse applicazioni per iOS siano ancora vulnerabili a FREAK, nonostante sia stata introdotta un’apposita patch a livello di sistema. L’azienda ha riscontrato una vulnerabilità a FREAK pari al 5.5% delle applicazioni analizzate su iOS 8.1.
Soprannominato “FREAK”, la falla si basa su metodi utilizzati dalla NSA durante le crypto wars negli anni ’90. L’agenzia tentò infatti di limitare la forza dei software di criptazione da esportare fuori dagli Stati Uniti, obbligando gli ingegneri a progettare librerie di crittografia che potessero accettare connessioni sia da client domestici con una criptazione più forte, che dal client esteri con una criptazione più debole.
Nonostante la strategia sia stata abbandonata nel 2000, il supporto a simili connessioni esiste ancora in molti server e client SSL/TLS. In questo caso la forza di una determinata criptazione per una sessione viene negoziata tra i client, come ad esempio Safari, ed il server durante la prima connessione. Ecco quindi il problema. Alcuni ricercatori hanno infatti scoperto come alcuni client accettino livelli di sicurezza più deboli nonostante fossero richiesti livelli più alti.
A questo punto ci auguriamo che gli sviluppatori provvedano a correggere la falla quanto prima possibile.
Fonte: electronista