Investigadores de seguridad han descubierto una vulnerabilidad mayor en la propia raíz del protocolo HTTPS. El problema existe desde hace décadas y afecta aproximadamente al 36% de los sitios web que utilizan esta forma de comunicación supuestamente segura. Aprovechando esta vulnerabilidad, un atacante puede interceptar y modificar la información que se transfiere entre un sitio web y un navegador vulnerable y viceversa. De momento, tanto Safari para Mac e iOS como Chrome son vulnerables, así como casi cualquier dispositivo Android producido además de todos los navegadores para Linux.
La vulnerabilidad, identificada como CVE-2015-0204, y conocida popularmente como FREAK, es un ataque basado en la factorizaciób de RSA-EXPORT y es factible cuando un usuario con un navegador vulnerable se conecta a un sitio web vía HTTPS con un cifrado débil. Un atacante entonces puede monitorizar el tráfico, inyectar paquetes dentro de los datos enviados y recibidos, forzar una conexión con encriptación a 512 bits y robar la llave privada del sitio web.
Hay una gran cantidad de sitios web populares afectados por este problema además de sitios gubernamentales de Estados Unidos en una lista muy larga que afecta a toda internet.
Apple ha indicado a Ars Technica que publicarán una actualización de seguridad la semana que viene para OS X e iOS. Los usuarios de la última versión Firefox para OSX pueden considerarse seguros al no estar afectado el navegador.
En 4, 3, 2, 1 … saldran los talibanes de microsoft a decir que apple es insegura… XD
#1 Cómo va a ser Apple insegura si ya hasta van a tener sus propio personal de seguridad! Si te acercas más de lo debido te dispararán un iTunes que no se puede desinstalar.