Forscher haben einem Bericht der Washington Post zufolge eine neue „Freak“ genannte Sicherheitslücke entdeckt, die vor allem Nutzer von iOS- und Android-Geräten anfällig für Hackerangriffe macht. Die mehr als zehn Jahre alte Schwachstelle führt dazu, dass sich die vermeintliche sichere Verschlüsselung zahlreicher Websites, darunter auch Whitehouse.gov, NSA.gov und FBI.gov, knacken lässt. Apple und Google arbeiten bereits an einem Fix. Auch die Desktop-Version von Safari ist von der Schwachstelle betroffen. Die aktuellen Varianten von Chrome, Firefox und Internet Explorer sind immun gegenüber Freak. Wie sich inzwischen herausgestellt hat, sind auch Internet Explorer und der in Blackberry 10.3.1 integrierte Browser ebenfalls anfällig gegenüber Freak.
Den Forschern ist es laut Washington Post gelungen, Browser wie Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung zu nutzen. Sie hätten die Verschlüsselung anschließend innerhalb weniger Stunden geknackt und seien dann in der Lage gewesen, persönliche Informationen und Passwörter abzufangen. Zudem hätten sie die Kontrolle über Elemente auf den Websites übernommen, wie beispielsweise Facebooks Like-Button.
Die für den Export vorgesehen Verschlüsselungstechniken basieren offenbar auf 512-Bit-Schlüssel, von denen selbst Experten angenommen hatten, sie seien nicht mehr im Umlauf, heißt es weiter in dem Bericht. „Wir haben natürlich gedacht, die Leute nutzen die nicht mehr“, sagte Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung INRIA, dessen Team den Fehler bei der Analyse von Verschlüsselungssystemen entdeckt hat.
Den Forschern zufolge gibt es allerdings keine Hinweise dafür, dass Hacker den Fehler ausgenutzt haben. Apple kündigte gegenüber CNET einen Fix für die kommende Woche an. Google wird seinen Patch laut Washington Post Geräteherstellern und Mobilfunkanbietern zur Verfügung stellen. Ob und wann sie das Update an ihre Kunden und Nutzer weiterleiten, bleibt jedoch abzuwarten.
Die Betreiber der anfälligen Websites haben die Forscher ebenfalls vorab informiert, um ihnen Zeit zu geben, die Lücken zu schließen. Whitehouse.gov und FBI.gov seien inzwischen repariert worden, erklärten die Forscher. NSA.gov sei aber weiter anfällig.
Freak zeigt auch, welche Konsequenzen Hintertüren in Sicherheitsfunktionen wie Verschlüsselung haben können, wie sie beispielsweise Geheimdienste weltweit fordern. Matthew D. Green, Kryptografie-Experte an der Johns Hopkins University, warnt, dass jede Schwächung der Sicherheit die Komplexität erhöht, was Hacker für ihre Zwecke nutzen könnten. „Man schüttet damit Benzin ins Feuer. Wenn wir sagen, dass das die Dinge schwächt, dann haben wir einen Grund dafür.“ „Es kann nicht zur gleichen Zeit einen sicheren und einen unsicheren Modus geben“, zitiert die Washington Post Christopher Soghoian, Principal Technologist der American Civil Liberties Union. „Wir haben gesehen, dass diese Fehler schließlich alle Nutzer betreffen.“
[UPDATE 9.20 Uhr]
Unter freakattack.com können Nutzer überprüfen, ob ihr Browser für die Schwachstelle anfällig ist. Dort findet sich auch eine Liste betroffener Server. Administratoren können ihre Server auf die Schwachstelle bei https://www.ssllabs.com/ssltest/index.html überprüfen. Eine Anleitung für eine korrekte Implementierung für SSL-Verschlüsselung hat Mozilla veröffentlicht.
[UPDATE 9.38 Uhr]
Artikel wurde mit Hinweisen zu aktuellen Desktop-Browsern ergänzt.
[UPDATE 12.25 Uhr]
Liste betroffener Browser hinzugefügt.
[UPDATE 12.26 Uhr]
Der in Blackberry 10.3.1 integrierte Browser ist von der Schwachstelle auch betroffen.
[UPDATE 6.3. 13.49 Uhr]
Laut eines Security-Bulletins von Microsoft ist der in Windows integrierte Browser Internet Explorer anders als zunächst angenommen doch von der Lücke betroffen. Schuld daran hat die für die SSL-Verschlüsselung nötige Windows-Komponente schannel. Sie ist anfällig gegenüber Freak. Microsoft plant bereits einen Patch. Wer nicht so lange warten will, ändert die Reihenfolge der SSL-Verschlüsselungsmethoden per gpedit. Ob auch Windows Phone von dem Fehler betroffen ist, hat Microsoft nicht mitgeteilt.
Der unter freakattack.com verfügbare Test, der Browser auf die Schwachstelle untersucht, ist inzwischen angepasst worden. Dieser hatte zunächst den Internet Explorer als unempfindlich gegenüber Freak ausgewiesen.
Freak-Schwachstelle in mobilen Browsern | |
Mobile Browser | FREAK-Lücke vorhanden |
---|---|
Blackberry Browser 10.3.1.2243 | ja |
Boat Browser 8.2.4 (Android) | ja |
Chrome 40 (Android) | ja |
Chrome 40 (iOS) | nein |
Chrome 41 (Android) | nein |
Dolphin 11.4.2 für Android | ja |
Ghostery 1.1.1 (Android) | ja |
Firefox 36 (Android) | nein |
Internet Explorer 11 (Windows Phone) | nein |
Mercury 2.2.3 (Android) | ja |
Opera 27 (Android) | ja |
Safari 8.0 für iOS | ja |
Standard-Browser für Android (Lollipop) | ja |
Freak-Schwachstelle in Desktop-Browsern | |
Desktop-Browser | FREAK-Lücke vorhanden |
---|---|
Chrome 40 (OS X) | ja |
Chrome 40 (Windows) | nein |
Chrome 41 (OS X) | nein |
Chrome 41 (Windows) | nein |
Firefox 36 (OS X) | nein |
Firefox 36 (Windows) | nein |
Internet Explorer 11 (Windows) | ja |
Opera 27 für OS X | ja |
Opera 27 für Windows | nein |
Safari 8.0.2 (OS X 10.10.1) | ja |
Safari 8.0.5 (OS X 10.10.3 Beta) | ja |
[mit Material von Steven Musil, News.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…