安全專家警告，一個潛伏多年的安全漏洞將危及計算機與網頁間的加密連接，導致蘋果和谷歌產品的用戶在訪問數十萬網站時遭到攻擊，包括白宮、國家安全局和聯邦調查局的網站，并危及世界互聯網安全。

該漏洞被稱為“瘋怪”(Freak)，是一個針對安全套接層協議(SSL)以及傳輸層安全協議(TSL)的漏洞。通過它，攻擊者將得以實施中間人竊聽攻擊。該漏洞危及到大量網站、蘋果的Safari瀏覽器、谷歌的Android操作系統，以及使用早于1.0.1k版本的OpenSSL的用戶。

問題起源于美國在上世紀90年代早期施行的出口限制政策，它禁止了美國的軟件制造商向海外出口帶有高級加密功能的產品。當出口限制政策放寬后，由于有些軟件仍舊依賴于舊版加密協議，出口版產品的加密功能依然沒有得到升級。瘋怪使得攻擊者能夠將安全性很強的加密連接降級成“出口級”，從而使其易于攻破。

很多谷歌和蘋果的產品，以及嵌入式系統都使用OpenSSL協議，這些服務器和設備都將受到威脅。使用RSA_EXPORT加密套件的設備均有風險，瘋怪(FREAK)漏洞的名稱正取自于“RSA_EXPORT素數攻擊”的英文首字母(Factoring attack on RSA-EXPORT Keys)。

攻擊者在加密連接的建立過程中進行中間人攻擊，可以繞過SSL/TLS協議的保護，完成密鑰降級。降級后的512位密鑰可以被性能強大的電腦破解。

當今的協議使用更長的加密密鑰，比如作為加密標準的2048位RSA。512位密鑰在20年前屬于安全的加密方法，但今天的攻擊者利用公有云服務將很容易破解這些短密鑰。

上世紀90年代，破解512位密鑰需要大量計算;如今利用亞馬遜彈性計算云，則只需要大約7小時，花費100美元。

企業在修補漏洞方面動作迅速。蘋果和谷歌均表示，已經開發了補丁，并將很快向用戶推送。CDN服務商Akamai公司的負責人表示，已經對其網絡進行修補，但是很多客戶端仍暴露在風險中。“我們沒辦法修補客戶端，但是我們可以通過禁用‘出口級’密碼來解決該問題。這個漏洞的起源在客戶端，我們已經在和客戶聯系，讓他們進行變更了”。

該漏洞由微軟研究院和法國國家信息與自動化研究所共同發現。關于瘋怪漏洞的學術論文將在今年五月份舉行的IEEE安全與隱私會議上發表。