近日有研究人员发现,Google 与苹果公司开发的部分软件产品中留有称作是「FREAK」的安全漏洞,该漏洞非常容易被黑客利用并发起攻击,而这个漏洞的产生非常偶然,源自与美国政府很早之前要求出口的软件产品禁止使用最强的加密标准,必须使用弱加密的模式。
虽然这项规定随着互联网的发展已经取消,不过一些加密算法较弱的安全参数则继续被不少公司使用,研究人员发现可以强制浏览器使用更低级别的 512 位密钥。在公钥密码体制中,密钥长度越大,攻击者所需耗费的计算资源越多。对 RSA 算法的一种攻击是大整数分解,在已公开的研究中,768 位已于 2009 年被成功分解。研究人员建议至少使用 1024 位的密钥,推荐使用 2048 位的密钥。一旦攻击者成功获得密钥,则可以获得加密信息的内容。黑客也可以使用相同的技术,解密得到明文并盗取用户密码和其他信息,据悉目前有超过四分之一的加密站点都会被破解。

目前研究人员已经通知了政府网站以及各大科技公司,也已经有包括苹果在内的多家公司给予了相应回应——苹果的发言人 Trudy Miller 表示,他们将会在下周为其设备发布安全更新,用以修补这个潜在的威胁。而 Google 则表示他们已经把 Android 补丁下发给了合作厂商。同时 Google 也号召所有网站管理员,禁用对出口级认证的支持。
(部分内容编译自 MacRumors)
