Android，iOS应用脆弱到被FREAK攻击，移动应用加固再不做就晚了

移动平台和应用程序仍然存在一些问题，移动平台和应用程序仍然运行版本的加密库易受FREAK攻击的影响。iOS和Android应用程序的易受攻击版本，这些应用程序的下载量总计超过60亿次。几维安全表示，苹果在九天前发布了一个修补程序来纠正iOS中的漏洞。

研究员说：“即使在销售商修补Android和iOS后，这些应用仍然容易受到FREAK的影响，连接到接受RSA_EXPORT密码套件的服务器。“这就是为什么一些iOS应用程序仍然容易受到FREAK攻击，苹果在3月9日修复了iOS 8.2中的iOS FREAK漏洞。”

FREAK攻击是可能的，因为服务器可能被迫降级并接受512位RSA密钥，这是美国政府批准的出口海外的关键优势，一种被大多数客户长期以来抛弃的遗留工件。具有中间位置的攻击者可以拦截加密的流量并使用适度的计算资源对其进行解密。伦敦皇家霍洛威大学（London Holloway University of London）发布的一项研究表明，存在减少计算时间和成本的因素。

它扫描了11,000个Google Play中的应用程序，每个应用程序已下载至少100万次，并发现有1,228个应用程序处于风险中，因为他们正在使用易受攻击的OpenSSL库连接到易受攻击的服务器。根据数字，有664个使用Android的捆绑OpenSSL库，564个使用自定义编译库。

iOS版本的问题不太严重，其中1471个应用程序中的771个扫描连接到易受攻击的HTTPS服务器。

研究人员写道：“这些应用程序容易受到低于8.2的iOS版本的FREAK攻击。“这771个应用程序中有7个应用程序具有自己的易受攻击的OpenSSL版本，并且在iOS 8.2中仍然很容易受到攻击。”

大多数易受攻击的应用程序分为影响用户隐私和安全性的类别，包括照片和视频应用，生活方式，社交网络，健康健康，金融，通信，购物，商业和医疗应用。由此可见，移动应用加固的重要性。

512位密钥是加密战争的工件; 美国政府批准海外出口较弱的关键。大多数专家认为，大多数服务器已经删除了弱化的密码，但微软和法国国家计算机科学与控制研究所披露的情况并非如此。

研究还表明，服务器管理员和大型技术提供商已经迅速采取行动，以消除较弱的密码。原来的估计有超过26％的服务器容易受到FREAK的伤害，但皇家霍洛威估计，这个数字已经下降到11％左右。

但是，FREAK漏洞利用专家的限制，因为它们要求攻击者主动干扰TLS连接，这意味着它们必须已经具有某种访问服务器的权限。该bug的实际效果是有限的。

“由于主动的中间需求，这个错误对于在其他高安全网络环境中定位特定用户的间谍活动可能非常有用。”他说。“对于典型的互联网犯罪分子来说，这不是很有用，因为在不同程度的复杂程度上重定向和收集用户流量的方法要容易一些。”