FREAK攻撃に脆弱な人気Androidアプリは1000件以上にも - FireEye

ファイア・アイは3月24日、クライアントへのFREAK攻撃に対するiOS/Androidアプリのセキュリティ脅威について検証し、その結果を発表した。

FREAK攻撃では、脆弱なクライアント・サーバー間のHTTPS接続を傍受され、攻撃者が脆弱な暗号化技術の使用を強制することで、これを突破して機密データの窃取・操作が可能になるという。

FREAK攻撃が成功するには、サーバーがRSA_EXPORT暗号スイート(輸出用RSA暗号)を受け入れるとともに、クライアントが輸出用ではない暗号スイートで一時RSAキーを許可する必要がある。これにより攻撃者は接続の暗号強度を弱め、データを窃取しやすい状態にできる。

3月4日時点で、AndroidとiOSのいずれの最新版プラットフォームについても、FREAKへの脆弱性が認められる。また、iOSとAndroidのいずれもアプリも、OpenSSLライブラリそのものの脆弱版を含む可能性があることから、FREAKはプラットフォームの脆弱性であり、アプリの脆弱性でもあるといえる。そのため開発メーカーによってAndroidやiOSのパッチが公開された後でも、RSA_EXPORT暗号スイートを受け入れたサーバーに接続すれば、こうしたアプリは引き続きFREAKに脆弱な状態になる。