Een backdoor die door de Amerikaanse overheid in de jaren 90 in SSL-software werd verplicht, blijkt nu nog steeds in software aanwezig. Gebruikers van Android, iOS en Safari op OS X zijn kwetsbaar voor de zogenoemde Freak Attack.

Deze aanval maakt het voor kwaadwillenden mogelijk om een lager niveau van encryptie af te dwingen op versleutelde verbindingen. Deze versleuteling van 512 bytes kan inmiddels makkelijk gekraakt worden. Apple heeft toegezegd volgende week met een update te komen.

In de jaren negentig verbood de Amerikaanse overheid bedrijven om buiten de VS sterke versleuteling aan te bieden. Zo konden geheime diensten eenvoudig blijven tappen. Inmiddels is dat niet meer zo, maar software kan nog steeds geforceerd worden om lage versleuteling te gebruiken. Volgens experts is het in minder dan 8 uur mogelijk om encryptiesleutels van 512 bytes te kraken.

Om een apparaat aan te vallen is een man in the middle-attack nodig. Simpel gezegd: het moet met hetzelfde (WiFi-)netwerk als de aanvaller verbonden zijn. Zowel OS X 10.10.2 als de publiek beta van 10.10.3 zijn kwetsbaar. Ook iOS 8.1.3 en de laatste beta van iOS 8.2 zijn niet gepatcht. Zelf checken of je browser kwetsbaar is kan via deze website.

Privacy-activisten zijn boos en zeggen dat dit precies is hoe de overheid het internet voor alle gebruikers onveilig maakt.

Via: Tweakers.net