“历史遗留”漏洞：浅析新型SSL/TLS漏洞FREAK

最近安全研究人员发现一种新型SSL/TLS漏洞。预计在十年内，数以百万计的苹果、安卓用户访问HTTPS网站时将可能遭受中间人进而被窃取账号和密码，即使这些网站使用了加密传输也无济于事。

这个漏洞编号为CVE-2015-0204，人们将它命名为FREAK（Factoring Attack on RSA-EXPORT Keys）。黑客或情报机构能借此强迫客户端使用低版本且包含漏洞的加密方式，包括美国的出口级密钥——512位的RSA密钥。

FREAK漏洞是由法国国家信息与自动化研究所(Inria)和微软的研究人员共同发现的。为此，他们曾研究了OpenSSL v1.01k及之前的协议版本，以及苹果的安全传输机制。

90年代的暗箱操作

90年代，美国政府要求在货物出口前，要求出口产品和设备进行“暗箱操作”——必须使用弱加密的“出口级”加密方式，这种加密方式可以便于情报机构和特殊机构破解利用。当时只有美国本土的产品才能使用更强壮的加密方式。

虽然后来这一“政治需求”间谍手段已被废弃，但是多少年过去了，这种弱加密的“出口级”加密方式依然存在，于是形成了FREAK漏洞。

现在，FREAK漏洞让黑客能够轻松解密网站的私钥和加密密码，登录cookie，以及其他HTTPS传输的机密数据（比如账号、密码）。

约翰·霍普金斯大学-信息安全研究所的研究助理教授，在博客里总结了关于FREAK漏洞相关情况，并给我们展示了黑客如何借此施展中间人攻击：

1.在客户端发出的Hello消息中，它会请求标准的RSA加密

2.中间人攻击者会改变请求内容，转而请求“出口级的RSA加密”

3.服务端会回馈一个512比特位的出口级的RSA密钥，并使用自己的密钥签名

4.由于OpenSSL/Secure传输的bug，客户端会接受这个存在漏洞的密钥

5.黑客通过分析RSA模量还原相应的RSA密钥

6.当客户端加密“pre-master secret”这样的消息，并发送给服务端时，黑客便可以通过获得的RSA密钥解密，改为“master secret”

7.从这一步起，黑客可以看见明文，然后对其内容任意进行修改

36%的SSL/TLS网站受到影响

当我们对超过1.4亿支持SSL/TLS的网站进行扫描后，发现其中至少有36%的个体存在该漏洞，并支持出口级RSA加密。

在上世纪90年代，破解512位的密钥需要出动超级电脑。而今天，我们只需要花费7小时+约100美金，就可以轻松搞定这种加密机制。

如果用户正在使用一个含有漏洞的设备，我们可以尝试利用FREAK漏洞对它进行攻击。现在像安卓、苹果手机，以及运行OS X系统的苹果Mac电脑，如果该设备含有SSL/TLS协议漏洞，即使使用HTTPS网站后依然可能遭受中间人攻击。好在Windows和Linux用户，目前并未受到该漏洞影响。

FREAK漏洞与POODLE（贵宾犬）漏洞的相似性

FREAK与POODLE这两个漏洞还是有一定的相似性的，POODLE是利用安全套件进行降级回退攻击，强迫终端使用低版本SSL/TLS；而FREAK则只影响那些使用出口级RSA加密算法的版本。

安全研究人员们正在维护一个含有漏洞的网站列表，并鼓励网站管理员启用向前保密（一对一限制访问），并且禁用对出口级套件的支持，其中包括所有已知的不安全加密机制。

您也可以使用在线SSL FREAK测试攻击，检测网站是否存在漏洞。

苹果和谷歌计划修复FREAK漏洞

谷歌公司表示安卓已经把补丁下发到合作厂商。同时谷歌也号召所有网站管理员，禁用对出口级认证的支持。而苹果公司也对此进行了回应，并表示：“我们下周进行软件升级时，会对iOS和OS X系统进行相应的漏洞修复。”