本文讲的是又一重大漏洞现身 “疯怪”危及世界互联网安全，安全专家警告，一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接，导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击，包括白宫、国家安全局和联邦调查局的网站，并危及世界互联网安全。

该漏洞被称为“疯怪”（Freak），是一个针对安全套接层协议(SSL)以及传输层安全协议(TSL)的漏洞。通过它，攻击者将得以实施中间人窃听攻击。该漏洞危及到大量网站、苹果的Safari浏览器、谷歌的Android操作系统，以及使用早于1.0.1k版本的OpenSSL的用户。

问题起源于美国在上世纪90年代早期施行的出口限制政策，它禁止了美国的软件制造商向海外出口带有高级加密功能的产品。当出口限制政策放宽后，由于有些软件仍旧依赖于旧版加密协议，出口版产品的加密功能依然没有得到升级。疯怪使得攻击者能够将安全性很强的加密连接降级成“出口级”，从而使其易于攻破。

很多谷歌和苹果的产品，以及嵌入式系统都使用OpenSSL协议，这些服务器和设备都将受到威胁。使用RSA_EXPORT加密套件的设备均有风险，疯怪（FREAK）漏洞的名称正取自于“RSA_EXPORT素数攻击”的英文首字母（Factoring attack on RSA-EXPORT Keys）。

攻击者在加密连接的建立过程中进行中间人攻击，可以绕过SSL/TLS协议的保护，完成密钥降级。降级后的512位密钥可以被性能强大的电脑破解。

当今的协议使用更长的加密密钥，比如作为加密标准的2048位RSA。512位密钥在20年前属于安全的加密方法，但今天的攻击者利用公有云服务将很容易破解这些短密钥。

上世纪90年代，破解512位密钥需要大量计算；如今利用亚马逊弹性计算云，则只需要大约7小时，花费100美元。

企业在修补漏洞方面动作迅速。苹果和谷歌均表示，已经开发了补丁，并将很快向用户推送。CDN服务商Akamai公司的负责人表示，已经对其网络进行修补，但是很多客户端仍暴露在风险中。“我们没办法修补客户端，但是我们可以通过禁用‘出口级’密码来解决该问题。这个漏洞的起源在客户端，我们已经在和客户联系，让他们进行变更了”。

该漏洞由微软研究院和法国国家信息与自动化研究所共同发现。关于疯怪漏洞的学术论文将在今年五月份举行的IEEE安全与隐私会议上发表。

原文发布时间为： 三月 5, 2015