研究者らが新たな「FREAK」セキュリティ欠陥を発見、Appleは近日中に修正すると発表
これらの制限は 10 年以上前に解除されましたが、古いポリシーの結果として、より弱い暗号化がソフトウェア会社によって使用され続け、米国ではソフトウェアに組み込まれているさえあります。この問題は、研究者らがブラウザに低グレードの 512 ビット暗号化の使用を強制し、それを解読できることを発見した今年まで注目されませんでした。
ハッカーも同じ戦術を使用して、弱い暗号化を解読し、パスワードやその他の情報を盗む可能性があります。研究者らはまた、この脆弱性を利用して主要な Web サイトに攻撃を仕掛けたり、侵入したりできる可能性があると考えています。テストでは、コンピュータを使用して輸出グレードの暗号化キーが 7 時間以内に突破され、暗号化されたサイトの 4 分の 1 以上が脆弱であることが判明しました。
フランスのコンピュータサイエンス研究所INRIAの研究者、カーティケヤン・バルガバン氏は、「当然、人々はその使用をやめたと思っていた」と述べ、そのチームが最初に暗号化システムのテスト中に問題を発見したと述べた。
ペンシルベニア大学の暗号学者であるナディア・ヘニンガー氏は、「これは基本的に90年代のゾンビだ…誰かがまだこれらの輸出スイートをサポートしていることに本当に気づいていた人は誰もいなかったと思う。」と述べた。
Washington Post が指摘したように、FREAK の脆弱性は、政府がデバイスのセキュリティに関与した場合に発生する可能性のある問題の一例です。政府当局者らは 最近、 PRISM のような 政府の秘密監視プログラムに対する怒りに応えて、Apple と Google が自社のスマートフォンに組み込んでいるプライバシー機能について懸念を表明しました。
FBIのジェームズ・コミー長官は、場合によっては政府による電子機器へのアクセスが必要となるため、アップルとグーグルは暗号化を縮小すべきだと示唆する発言をした。同氏は、政府が誘拐犯、犯罪者、テロリストの装置に侵入できることは「非常に重要なこと」かもしれないと述べた。
この欠陥を発見した研究者らは、この欠陥が広く知られる前に政府機関や大手テクノロジー企業に問題を修正するよう通知した。 FBI.gov と Whitehouse.gov は修正されており、Apple の広報担当者 Trudy Miller 氏によると、Apple は「来週には自社のコンピュータとモバイル デバイスの両方に適用される」セキュリティ パッチを準備しているとのことです。
