Ook Windows-pc's geraakt door 'Freak' dat beveiligde verbinding onveilig maakt

De zogeheten Freak-kwetsbaarheid blijkt niet alleen apparaten met iOS, Android en OS X te raken, maar ook Windows is niet tegen het lek bestand.

Dat bevestigt Microsoft donderdagnacht (Nederlandse tijd).

De kwetsbaarheid die al sinds de jaren '90 aanwezig is, maakt het relatief eenvoudig mogelijk om beveiligde internetverbindingen af te tappen. Freak staat voor Factoring attack on RSA-EXPORT Keys.

Nu ook computers met alle momenteel ondersteunde versies van Windows kwetsbaar blijken, is het potentiële gevaar nog groter.

Freak

De ontdekking van Freak werd begin deze week openbaar gemaakt. In de jaren '90 eiste de Amerikaanse regering dat de encryptie van sites niet te moeilijk zou zijn, zodat deze te kraken was voor inlichtingendiensten zoals de NSA.

Het lagere niveau van encryptie was destijds alsnog alleen voor een supercomputer te kraken en die hadden cybercriminelen niet tot hun beschikking. Inmiddels zijn de normale computers zo krachtig geworden dat deze oude encryptie wel te kraken is.

Sinds 1999 hoeft deze manier van versleutelen dan ook niet meer gebruikt te worden, maar dat gebeurt nog wel.

Aftappen

Kwaadwillenden kunnen het verkeer tussen twee kwetsbare apparaten monitoren en de communicatie vervolgens via de zwakke encryptie dwingen. Gebruikers denken dan dat ze op een beveiligde SSL-verbinding zitten, te herkennen aan het groende slotje in de browser, maar ondertussen is het mogelijk de encryptiesleutel in een aantal uur te kraken waarna het verkeer kan worden afgetapt.

Donderdag bracht Google al een nieuwe versie van Chrome voor Macs uit waarbij de zwakkere encryptie niet meer kan worden afgedwongen. Ook is er een update voor Android naar partners van Google gestuurd om het lek te dichten. Apple liet weten volgende week met een update voor OS X en iOS te komen.

Wanneer Microsoft zijn systemen gaat updaten, is onduidelijk. Vooralsnog lijkt alleen browser Firefox bestand tegen de kwetsbaarheid. 

Eerdere SSL-lekken

Hoewel Freak niet direct een kwetsbaarheid in SSL zelf is, raakt het het beveiligingsprotocol wel. In oktober 2014 werd er al een groot lek in SSL met de naam POODLE ontdekt waardoor inloggegevens konden worden onderschept.

In april van 2014 kwam bovendien Heartbleed aan het licht, dat ook wel omschreven wordt als het grootste internetlek ooit. 

Lees meer over:
Tip de redactie