【網路分享】Https 的「FREAK」漏洞連全球知名網站都受害，愛評網和鉅亨網也上榜

【網路分享】Https 的「FREAK」漏洞連全球知名網站都受害，愛評網和鉅亨網也上榜 作者 陳 瑞霖 | 分類 網路 , 資訊安全 資安專家發現一項存在長達十年的安全漏洞，能夠解碼 HTTPS 保護的網頁流量，從中竊取使用者密碼，對使用者發動中間人攻擊。不少知名新聞網站像 Business Insider 受影響，而台灣有愛評網和鉅亨網檢測出問題。 這項 FREAK 漏洞來自美國限制強加密技術的出口。在 1990 年之前，加密技術要出口的話，被限制最多只能用到 512 位元，雖然這項禁令在 1990 年代已經解禁，但是不少這些薄弱的加密技術輸出美國後，因緣際會回到美國，造成相關產品的加密程度降低，如此導致 SSL/TLS 標準安全不足。512 位元的加密程度，其實只要一位熟練的破解密碼人員，加上如今唾手可得的雲端運算，像是能夠輕易的承租 Amazon 的服務達成，花費的時間只要七小時。 密西根大學的電腦科學家 J. Alex Halderman 和 Zakir Durumeric，列舉有 RSA Export Suites 漏洞的網站清單，這些網站都會受 FREAK 漏洞影響。其中有不少知名新聞站如 Business Insider 以及 NPR 上榜。仔細看這份清單，台灣有愛評網和鉅亨網上榜。 市面上主要的瀏覽器如 Chrome 和 Firefox 不會受到影響，但是 Google 的 Android 內建瀏覽器會受影響，而 Google 回應他們會提供修補程式給他們的合作廠商。如此作法無法保證 Andriod 用戶的安全，因為 Google 無法控制每位用戶的安全更新機制，得透過手機商才行。蘋果則著手安全修補，預計下週會發佈。 如今不只有 Google 或者蘋果會受影響，使用人數相當多的微軟也被爆也會受 FREAK 影響。微軟出面承認 Windows 也有 FREAK 漏洞，目前著手修復中。 網址：http://technews.tw/2015/03/06/freak-security-hole-discovery-by-scholar-taiwan-website-ipeen-and-cnyes-is-on-the-list/