黑莓也难逃FREAK魔掌,成为众多受影响的供应商之一。黑莓公布了当前易受攻击的软件并表示将尽快提供修复方案。
臭名昭著的FREAK漏洞是OpenSSL自20世纪90年代便出现的漏洞,原因是美国当时规定“出口级”的加密密钥长度被限制在512位以内。
客户端需要一种方法,告知服务器它们只接受出口级密钥——而实现这个目的的代码一直被留了下来。在FREAK漏洞事件中,一个中间人攻击能够告知服务器称客户端只接受更弱的密钥,然后用这个弱密钥捕获流量,之后进行解密。
黑莓发布安全建议称,当前易受攻击的产品包括黑莓10及7.1及更早版本的操作系统、多种企业服务器版本,以及Windows、iOS与安卓上的黑莓通信(BlackBerry Messenger)。
具体来讲,受影响的黑莓产品包括
• BlackBerry Enterprise Server 5;
• BlackBerry Universal Device Service;
• BES12 客户端的WindowsPhone 及安卓版本;
• BBM 及BBMProtected on Android,2.7.0.6及更高安卓版本;2.7.0.32及更高iOS版本。
虽然还没有针对漏洞的变通方法,但公司表示成功实施中间人攻击需要很多复杂要求,而这些要求会在短期内降低对客户端的风险。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。