信頼あるWebサイトでも4割に影響 - トレンドマイクロがSSL脆弱性で注意喚起
をサポート。中間者が双方間の HTTPS通信に介入することに成功すると、盗聴や改ざんなどの攻撃が可能になる。
一般的には中間者がHTTPS通信に介入しても、通信が暗号化されており問題はない。しかし、この脆弱性を利用した攻撃では、暗号化通信が強度不足の「512ビット以下の暗号化」に変更されてしまう。
FREAK脆弱性に関する情報を専門に扱っている「freakattack.com」によれば、信頼性の高いとされるWebサイトの37%が、また、Alexaのトップ100万ドメインのうち9.7%のサイトが「RSA Export Suites」をサポートしており、この脆弱性を利用する攻撃の影響を受る可能性があるという。この中には「Bloomberg」や「Business Insider」「DNet」「HypeBeast」「Nielsen」「米連邦捜査局(FBI)」などのWebサイトも含まれている。
同サイトではIT管理者に「RSA Export Suites」のサポートを無効にするよう呼びかけており、既知の安全ではない暗号化をすべて無効して「Forward Secrecy(前方秘匿性)」を有効に」といった改善策を提案している。