A medida, que impedia as empresas americanas de exportarem produtos com o protocolo de encriptação de dados mais forte, obrigou as companhias a baixarem os níveis de segurança (512 bits era o limite) nos produtos vendidos para outros países, uma opção que nunca foi revista embora a medida governamental tenha sido retirada no final da década de 90.

Esta medida tinha como objetivo manter em aberto a possibilidade de "entrar" nos telemóveis comercializados por empresas norte-americanas, caso as autoridades tivessem necessidade de levar a cabo ações de vigilância. Quando a medida deixou de vigorar a utilização de normas de encriptação mais fracas continuou a fazer parte do software integrado em produtos distribuído um pouco por todo o mundo e até nos Estados Unidos.



A descoberta foi feita há algumas semanas por especialistas em segurança que identificaram a falha como Freak attack. O problema afeta o OpenSSL e o Apple SecureTransport - que deriva do protocolo Transport Layer Security, ambos com versões vulneráveis. O OpenSSL é um protocolo open source usado em vários produtos, nomeadamente nos browsers para Android. A tecnologia usada pela Apple está em aplicações para iOS e OSx, como o Safari para iPhone, iPad ou iPod.

Se explorada, a falha permite decifrar informações de login e outros dados sensíveis fornecidos nas ligações seguras (a sites HTTPS), feitas a partir de um browser vulnerável. Interceptando o tráfego, quando o browser se liga a um site HTTPS e é apresentada a lista de protocolos disponíveis para aceder a serviços supostamente seguros, como o site do banco ou o email, um atacante consegue forçar a escolha de opções mais fracas e quando a ligação é estabelecida com esses parâmetros tira partido das vulnerabilidades dos protocolos para aceder aos dados.



As duas empresas, Google e Apple, já garantiram à Cnet que estão a trabalhar em correções, que contam disponibilizar em breve. A Apple pretende lançar uma correção já durante a próxima semana e a Google está a trabalhar no mesmo sentido, para fazer chegar uma correção aos fabricantes de telemóveis e operadores móveis.



Os investigadores que descobriram a falha adiantaram ao Washington Post que até à data não encontraram indícios de que a vulnerabilidade tenha sido explorada e que alguém tenha efetivamente sido afetado pelo risco, mas a possibilidade existe. Nos testes que realizaram conseguiram facilmente prová-la, garantem.



Nesses testes os investigadores conseguiam forçar os sites a usar sistemas de encriptação fracos, que em poucas horas conseguiram contornar e depois disso aceder a passwords ou apropriarem-se de outros elementos das páginas.

Escrito ao abrigo do novo Acordo Ortográfico