حفره امنیتی خطرناک به جا مانده از دهه ۹۰ اطلاعات کاربران را به مخاطره می اندازد

تیمی از کریپتوگرافرها یا متخصصین در زمینه ی رمزنگاری، حفره ی امنیتی به جا مانده از دهه نود را کشف کرده اند که کماکان سبب می گردد امنیت کاربران در مقابل حملات سایبری به مخاطره بیافتد.

این حفره که از آن با عبارت FREAK یاد می شود می تواند سبب ایجاد نا امنی برای کاربران مرورگر سافاری در کامپیوترهای مک و ابزارهای مبتنی بر iOS و همینطور کاربران مرورگر پیش فرض ارائه شده بر روی سیستم عامل اندروید گردد، و وقتی این افراد از یک وب سایت مجهز به پروتکل امن SSL بازدید به عمل می آورند اطلاعاتشان مورد سو استفاده قرار گرفته و هک گردد.

در ادامه با دیجیاتو همراه باشید.

تیم محقق مورد اشاره نتایج تحقیقات خود و همینطور فهرستی از سایت هایی که به این آسیب پذیری دچار هستند را در اینترنت منتشر کرده اند. در این فهرست اسامی بسیاری از سایت های دولت ایالات متحده (وب سایت کاخ سفید، پلیس فدرال این کشور و سازمان امنیت ملی آن موسوم به NSA) و حتی نام برخی از موسسات و بانک های ایرانی نیز به چشم می خورد.

ظاهراً آسیب پذیری FREAK در دهه ۹۰ و در هنگام توسعه ی پروتکل امن SSL پدید آمده است. دولت آمریکا در آن بازه ی زمانی از کمپانی های مختلف دست اندرکار در توسعه ی این پروتکل خواسته بود تا از انکریپشن یا شیوه رمز نگاری ضعیف تر ۵۱۲ بیتی برای بازدید کنندگان سایت های مختلف در خارج از این کشور استفاده نمایند و انکریپشنی قوی تر را تنها به کاربران آمریکایی تخصیص دهند.

بر اساس همین درخواست توسعه دهندگان پروتکل امن مورد بحث که همکنون نیز در بسیاری از سایت های مهم و نیازمند امنیت بالا مورد استفاده قرار می گیرد مکانیسیمی را اجرایی کرده اند که این پروتکل در هنگام ضرورت انکریپشن مورد نیاز را بر حسب محل استقرار کاربر (داخل و یا خارج از خاک ایالات متحده) پیاده سازی نماید.

در حالیکه دولت آمریکا پس از مدتی این محدودیت را حذف نموده اما ظاهراً این تصمیم بسیار دیر اتخاذ شده و سبب گشته تا پروتکل مذکور به همان شیوه ی قدیمی بر روی بسیاری از نرم افزارها و وب سایت ها مورد استفاده قرار گیرد.

بر همین اساس تیم محقق مورد اشاره در ابتدای مطلب، طی تحقیقات خود موفق شده اند مرورگرهای وب را وادار نمایند تا از نسخه ی ضعیف تر انکریپشن استفاده نموده و سپس اطلاعات این رمزنگاری را تنها ظرف هفت ساعت و با بهره گیری از قدرت پردازشی ۷۵ کامپیوتر رمزگشایی کرده و به دست آورند.

برای رمز گشایی انکریپشن ۱۰۲۴ بیتی که قبلاً تنها به کاربران حاضر در خاک ایالات متحده اختصاص داشته، نیاز به توان پردازشی میلیون ها کامپیوتر و یکسال زمان است تا امکان دسترسی به اطلاعات رد و بدل شده بر مبنای آن فراهم گردد.

به گفته ی متیو گرین، پروفسور و محقق دانشگاه جان هاپکینس، دولت آمریکا در دهه ی نود به این علت دو شیوه انکریپشن را در پروتکل SSL اعمال کرده بوده که سازمان های امنیتی اش از جمله NSA بتوانند در صورت ضرورت اطلاعات رد و بدل شده بر پایه ی آن را رمزگشایی کرده و به آنها دسترسی پیدا نمایند. در عین حال دولت وقت سعی داشته است با وجود رمزنگاری ضعیف تری که تنها نهادهای خودش می توانسته اند آن را بشکنند کماکان پروتکل مذکور را برای مصارف تجاری  کاربردی و امن جلوه دهد.

وب سایت Engadget در این رابطه می نویسد اگر دولت قبلاً در پشتی را در پروتکلی امن که مورد اطمینان همه بوده است بازگذاشته، بعید نیست الان نیز همین شیوه را در مورد سایت های مختلف و ابزارهای گوناگون امروزی مان هم اتخاذ نموده باشد.

محققین نمی توانند بگویند که این حفره توسط فرد یا افرادی اخیراً مورد استفاده قرار گرفته است و یا خیر، ولی به آسانی توانسته اند بوسیله آن به اطلاعات افراد مختلف دسترسی پیدا کرده و همینطور به وب سایت های آسیب پذیر نفوذ نمایند.

اپل و گوگل هر دو اعلام کرده اند در حال برطرف کردن این آسیب پذیری در مرورگرهای خود هستند. کاربران iOS احتمالاً ظرف هفته ی آینده به روز رسانی مرتبط را دریافت خواهند نمود ولی کاربرانی که از مرورگر پیش فرض اندروید استفاده می نماید بهتر است به سراغ مرورگر گوگل کروم بروند زیرا احتمال دارد رام تلفن های هوشمند آنها دیگر به روز رسانی نشده یا این آپدیت با فاصله ی زمانی قابل توجهی عرضه گردد.