Google bestätigt Angriff auf Mail-Nutzer im Iran mit falschem Zertifikat

Google hat bestätigt, dass Nutzer seines Maildiensts durch gestohlene Zertifikate gefährdet sind. Unbekannte konnten sich in die verschlüsselte Kommunikation zwischen Anwendern und Google-Servern hineindrängen. Die Betroffenen stammten primär aus dem Iran, heißt es im Blog. „Die Angreifer nutzten ein falsches SSL-Zertifikat von DigiNotar, einem niederländischen Herausgeber von Zertifikaten, aber eigentlich nicht im Auftrag von Google.“

Nutzer hatten das Problem bereits am Sonntag auf einer Support-Site des Unternehmens gemeldet. Auf die Frage nach der Zahl der Betroffenen schreibt Google: „Bei solchen Man-in-the-middle-Angriffen sind solche Details immer schwer zu klären. Wir bemühen uns. Beachten Sie bitte, dass dieser Angriff nicht nur Google-Anwendern galt; auch für viele andere Sites gab es falsche Zertifikate. Der Angriff wurde nur durch die innovative Erkennung falscher Zertifikate von Chrome enttarnt. Dadurch sind bislang nur Besuche auf Google.com geschützt, aber keine anderen Sites. Die Zahl der Angriffe insgesamt kann somit niemand überblicken.“

Wie die Google-Seite Google Chromium Code Review zeigt, wurden inzwischen 247 digitale Zertifikate auf eine Schwarze Liste gesetzt. Ob Nutzerdaten entwendet werden konnten, hat Google noch nicht klären können. Die Zertifikate von DigiNotar wurden Google zufolge am 19. Juni entwendet. Wann die Angriffe genau begannen, weiß man aber nicht.

Mit einem solchen falschen Zertifikat kann sich jeder für Google (oder eine andere Website) ausgeben. Mikko Hypponen wundert sich im Blog von F-Secure aber, wie DigiNotar glauben konnte, Google lasse seine Zertifikate ausgerechnet bei einem mittelgroßen niederländischen Herausgeber aktualisieren. Außerdem gebe es seit langem drei von Hackern manipulierte und mit Botschaften versehene Seiten auf den Servern von DigiNotar. Sie seien jetzt noch live. „Als DigiNotar nach dem Angriff ein Audit seiner Systeme vornahm, wie konnte es diese Entstellungen übersehen?“