Vira e mexe pesquisadores encontram novas falhas de segurança, mas a encontrada desta vez mostra o resultado de pessoas com poder e nenhum cérebro se metem em assuntos que não entendem: ao que tudo indica milhões de usuários tanto da Apple quanto de dispositivos Android estão vulneráveis há anos, tudo por causa de um bug no OpenSSL de literalmente décadas de idade, criado por imposição do governo norte-americano.
O bug foi chamado pelos pesquisadores de FREAK (Factoring Attack on RSA-Export Keys) e foi implementada de propósito na década de 1990 pelos Estados Unidos. A decisão do governo Clinton foi que nenhum software de segurança exportado pelo país tivesse uma criptografia superior a 512 bits. O motivo é o que você deve estar imaginando: questões de segurança nacional, para que fosse muito mais fácil para os EUA invadirem sistemas de outros países explorando esse elo fraco.
Apesar da imposição ter caído no fim da década de 1990, a falha já havia se proliferado mundo afora e no melhor estilo karma is a bitch, bitch ela voltou para o país de origem, sendo implementada em softwares utilizados pelas próprias empresas locais.
Para explorar a falha basta que um hacker esteja na mesma rede que o usuário, utilizar um site falso e capturar os dados, como em qualquer ataque man-in-the-middle. Segundo os pesquisadores não há relatos de que alguém conseguiu utilizar a vulnerabilidade, embora a ameaça seja bem real: ela está presente tanto em sistemas operacionais, sites que negociam criptografias fracas e navegadores, principalmente mobile.
Até o momento sabe-se que as versões para desktop do Chrome e Firefox estão protegidas, mas o Chrome para Android e o Safari estão sujeitos à falha. Acessando este site você não só descobre se seu browser está blindado como acompanha uma extensa lista de sites afetados pelo FREAK. A Apple rapidamente declarou que está trabalhando para corrigir o problema tanto no OS X quanto no iOS. Já do lado do Google é mais complicado, dada a política de atualizações do Android ser uma verdadeira bagunça, o que nos leva a crer que milhares, senão milhões de dispositivos com o robozinho permanecerão vulneráveis.
No fim das contas é bom ver uma cobra que o governo dos Estados Unidos soltou para atacar outras nações dar a volta e mordê-la bem aonde o Sol não brilha, embora seja uma falha perigosa e que não deveria nem ter sido introduzida em primeiro lugar. E o pior, parece que não aprenderão a lição nunca.