FREAK: Schwachstelle bedroht Apple- und Android-Geräte [UPDATE]

Eine neue Sicherheitslücke namens „FREAK“, die vor allem Nutzer von iOS- und Android-Geräten anfällig für Hackerangriffe macht, haben Forscher einem Bericht der Washington Post zufolge entdeckt. Demnach lassen sich die Browser von iOS und Android zwingen, eine unsichere Verschlüsselung zu benutzen, die in wenigen Stunden geknackt werden kann.

Die von den Forschern entdeckte und mehr als zehn Jahre alte Schwachstelle führt dazu, dass sich die vermeintliche sichere Verschlüsselung zahlreicher Websites, darunter auch Whitehouse.gov, NSA.gov und FBI.gov, knacken lässt. Apple und Google arbeiten bereits an einem Fix. Auch die Desktop-Version von Safari ist von der Schwachstelle betroffen. Die aktuellen Varianten von Chrome, Firefox und Internet Explorer sind immun gegenüber FREAK.

(Bild: Shutterstock/Cousin_Avi)

(Bild: Shutterstock/Cousin_Avi)

FREAK (Factoring Attack on RSA-Export Keys) bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und „schwächere“ Export-Produkte für Kunden in anderen Ländern vorschrieb. Die Einschränkungen seien Ende der neunziger Jahre aufgehoben worden. Die schwache Verschlüsselung finde sich aber immer noch in zahlreichen Anwendungen, die zum Teil unbemerkt auch ihren Weg zurück in die USA gefunden hätten.

Laut Washington Post ist es den Forschern gelungen, Browser wie Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung zu nutzen. Sie hätten die Verschlüsselung anschließend innerhalb weniger Stunden geknackt und seien dann in der Lage gewesen, persönliche Informationen und Passwörter abzufangen. Zudem hätten sie die Kontrolle über Elemente auf den Websites übernommen, wie beispielsweise Facebooks Like-Button.

In dem Bericht heißt es weiter, dass die für den Export vorgesehen Verschlüsselungstechniken offenbar auf 512-Bit-Schlüsseln basieren, von denen selbst Experten angenommen hatten, sie seien nicht mehr im Umlauf. „Wir haben natürlich gedacht, die Leute nutzen die nicht mehr“, sagte Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung INRIA, dessen Team den Fehler bei der Analyse von Verschlüsselungssystemen entdeckt hat.

Es gibt es allerdings den Forschern zufolge keine Hinweise dafür, dass Hacker den Fehler ausgenutzt haben. Apple kündigte gegenüber CNET einen Fix für die kommende Woche an. Google wird seinen Patch laut Washington Post Geräteherstellern und Mobilfunkanbietern zur Verfügung stellen. Ob und wann sie das Update an ihre Kunden und Nutzer weiterleiten, bleibt jedoch abzuwarten. Die Betreiber der anfälligen Websites haben die Forscher ebenfalls vorab informiert, um ihnen Zeit zu geben, die Lücken zu schließen. Whitehouse.gov und FBI.gov seien inzwischen repariert worden, erklärten die Forscher. NSA.gov sei aber weiter anfällig.

FREAK zeigt auch, welche Konsequenzen Hintertüren in Sicherheitsfunktionen wie Verschlüsselung haben können, wie sie beispielsweise Geheimdienste weltweit fordern. Matthew D. Green, Kryptografie-Experte an der Johns Hopkins University, warnt, dass jede Schwächung der Sicherheit die Komplexität erhöht, was Hacker für ihre Zwecke nutzen könnten. „Man schüttet damit Benzin ins Feuer. Wenn wir sagen, dass das die Dinge schwächt, dann haben wir einen Grund dafür.“ „Es kann nicht zur gleichen Zeit einen sicheren und einen unsicheren Modus geben“, zitiert die Washington Post Christopher Soghoian, Principal Technologist der American Civil Liberties Union. „Wir haben gesehen, dass diese Fehler schließlich alle Nutzer betreffen.“

Unter https://freakattack.com können Nutzer überprüfen, ob ihr Browser für die Schwachstelle anfällig ist. Dort findet sich auch eine Liste betroffener Server. Administratoren können ihre Server auf die Schwachstelle bei https://www.ssllabs.com/ssltest/index.html überprüfen. Eine Anleitung für eine korrekte Implementierung für SSL-Verschlüsselung hat Mozilla veröffentlicht.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

freakattack.com: Firefox ist nicht anfällig (Screenshot: ZDNet.de) freakattack.com: Safari ist anfällig (Screenshot: ZDNet.de)

[UPDATE vom 5. März, 15.18 Uhr]

Gavin Millard von Tenable Network Security sieht keine große Gefahr durch die von französischen Forschen entdeckte Sicherheitslücke. Ähnlich wie zuvor bei Poodle sei ein Angriff nur schwer zu bewerkstelligen, da zahlreiche Schritte nötig seien, um die Schwachstelle auszunutzen.

Vollständigen Artikel „FREAK-Lücke: Sicherheitsspezialist gibt weitgehend Entwarnung“ lesen.

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu FREAK: Schwachstelle bedroht Apple- und Android-Geräte [UPDATE]

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *