Biztonsági szakértőknek rendkívül súlyos sebezhetőségre sikerült lelniük a weben - ill. bővebb értelemben az interneten - keresztül történő biztonságos, titkosított kommunikációt biztosítani hivatott SSL/TLS protokollokban. A FREAK-nek elnevezett, több mint egy évtized óta megbújó sebezhetőség kihasználásával támadók képessé válhatnak az elméletileg biztonságos csatornákon folyó kommunikáció lehallgatására és a titkosított adatfolyamok megfejtésére is.
A probléma egy az amerikai szövetségi kormányzat még a múlt évezredben meghozott szabályozására vezethető vissza, ami kötelezővé tette a titkosítást alkalmazó szoftvercsomagok készítői számára, hogy azok bizonyos ellenségesnek tekintett országokba az elméletileg elérhetőnél csak jóval gyengébb, így könnyebben megfejthető titkosítást támogató változatokat exportáljanak programjaikból. Így szinte minden manapság használt ilyen jellegű program kétszintű titkosítást támogat: az erősebb mellett egy gyengébb, könnyen megfejthetőt is.
A most felfedezett biztonsági probléma lényegét az képezi, hogy támadók a kommunikációs csatorna manipulálásával el tudják érni, hogy a szoftverek az erős helyett a gyengébb titkosítási módszert alkalmazzák akkor is, ha az amúgy nem lenne indokolt. A probléma ironikus módon az amerikai kormányzat saját weboldalait és kommunikációját is érinti, amit így akár a szóban forgó ellenséges országok is könnyen megfejthetnek vagy megfejthettek, akár már régebb óta is.
Ennél is nagyobb gond azonban, hogy a sebezhetőség gyakorlatilag minden Android eszközt, illetve az iPhone-okat és iPad-eket is biztosan érinti, amiken keresztül rengeteg privát adat folyik át a nap 24 órájában. Ezekre a készülékekre a pozícióadatoktól kezdve a leveleken át egészen a banki adatokig minden elvileg titkosított csatornán át áramlik ill. kerül elküldésre onnan - a fenti sebezhetőség révén azonban mindezen adatok viszonylag egyszerűen lefigyelhetővé válhatnak.
Bár az egyik legismertebb nyílt forrású titkosítócsomag, az OpenSSL esetében már elkészítették a javítást a problémára, valójában világszerte webszerverek millió, mobil eszközök, böngészők és más szoftverek milliárdjai lehetnek, amik még a sebezhető titkosítást alkalmazzák. Ezek jelentős része esetében ráadásul nincs is reális esély a probléma orvoslására, hiszen a javított rendszerkönyvtárakat sok esetben csak a gyártók tudnák elkészíteni, amik azonban legtöbb esetben már nem támogatják az érintett termékeiket.
