Uma equipe de especialistas descobriu uma falha de segurança dos anos 90 que ainda deixa usuários atuais vulneráveis a ciberataques. Chamada de “Factoring attack on RSA-EXPORT Key”, ou “Freak”, que significa “louco” em inglês, a vulnerabilidade pode afetar usuários do Mac, do iOS e do Android.

A falha aparece no Safari e no navegador padrão do Android quando eles visitam determinadas páginas. A vulnerabilidade permite que os hackers interceptem informações de conexões HTTPS – que deveriam ser “seguras” -, dependendo dos servidores que eles atacam. Essa abertura força os servidores a usarem uma criptografia chamada “export-grade”, que pode ser decifrada ou alterada.

A vulnerabilidade foi originada nos anos 90, quando o governo norte-americano pediu que as companhias usassem um mecanismo que alternava entre diferentes tipos de criptografia de dados, variando de acordo com a geolocalização dos usuários. Na época, muitos softwares utilizaram o recurso, que se manteve como padrão desde então.

Dessa forma, os hackers podem “forçar” o servidor a trocar a criptografia padrão para uma menos eficiente no meio da transferência dos dados. Em sete horas, usando o poder de 75 computadores, um dos pesquisadores conseguiu fazer isso.

Apesar de parecer muito tempo, o procedimento é relativamente simples se você comparar com o que seria necessário para fazer o mesmo com uma criptografia de 1024-bit. Ele precisaria de milhões de PCs e cerca de um ano para ser heackeado com um time de crackers.

Os pesquisadores não podem afirmar se alguém já foi afetado pela falha, mas provaram que ela é suficiente para roubar dados do usuário e hackear sites. A Apple e o Google já estão trabalhando em uma correção. O jornal The Washington Post recomenda trocar seu browser para o Chrome, que é imune à falha.

Com informações de Techtudo