Sicherheitsspezialist zur Freak-Lücke: „Kein Grund zur Besorgnis“

Gavin Millard von Tenable Network Security schätzt die Gefahr durch die von französischen Forschen entdeckte Sicherheitslücke Freak als nicht besonders hoch ein. Im Vergleich zu Heartbleed sei sie weniger gravierend, da ein Angriff wie zuvor bei Poodle nur sehr schwer zu bewerkstelligen sei. Hacker müssten zahlreiche Schritte durchführen, um Freak ausnutzen zu können. Betroffene sollten die Schwachstelle natürlich beheben.

Ein Restrisiko schließt Millard jedoch nicht aus. „Angreifer müssen einen 512-Bit-Chiffrierschlüssel knacken und darüber hinaus noch über Mittel und Wege verfügen, eine aktuelle Sitzung nach dem Man-in-the-Middle-Prinzip zu unterbrechen. Erst dann können sie Daten stehlen oder schädlichen Code einschleusen“, sagt der Sicherheitsspezialist. Das seit mit den verfügbaren Tools leichter als anzunehmen. Hierfür benötigten Cyberkriminelle nur wenige Stunden und laut einer Studie der Sicherheitsexpertin Nadia Heninger EC2-Zeit im Wert von 104 Dollar. Zusätzlich gibt Millard zu bedenken, sollte man in Betracht ziehen, „wie einfach es ist, Man-in-the-Middle-Attacken über Schwachstellen von Routern in Heimnetzwerken zu starten.“ Mit dieser Methode könnten Angreifer den Schlüssel knacken, den Traffic auf schadhafte Systeme umleiten und schädlichen Code einschleusen. Die angegriffenen Anwender bemerkten davon nichts, schließlich erscheint die Verbindung als rechtmäßig SSL/TLS-zertifiziert.

Entdeckt hat die mehr als zehn Jahre alte Schwachstelle ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria. Der Name Freak steht für „Factoring Attack on RSA-Export Keys“ und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und „schwächere“ Export-Produkte für Kunden in anderen Ländern vorschrieb.

Durch die Schwachstelle kann die vermeintliche sichere Verschlüsselung zahlreicher Websites, darunter auch Whitehouse.gov, NSA.gov und FBI.gov, kompromittiert werden. Apple und Google arbeiten bereits an einem Fix. Neben den mobilen Browser in iOS und Safari ist auch die Desktop-Version des Apple-Browsers von der Schwachstelle betroffen. Die aktuellen Varianten von Chrome, Firefox und Internet Explorer sind hingegen immun gegen Freak. Auch der in Blackberry 10.3.1 integrierte Browser ist anfällig für Freak.

Unter freakattack.com können Nutzer überprüfen, ob ihr Browser von der Schwachstelle betroffen ist. Für eine Überprüfung von Servern kann ein Test auf www.ssllabs.com/ssltest/index.html durchgeführt werden. Eine Anleitung für eine korrekte Implementierung für SSL-Verschlüsselung hat Mozilla veröffentlicht.

Freak-Schwachstelle in mobilen Browsern

Mobile Browser FREAK-Lücke vorhanden
Blackberry Browser 10.3.1.2243 ja
Boat Browser 8.2.4 (Android) ja
Chrome 40 (Android) ja
Chrome 40 (iOS) nein
Chrome 41 (Android) nein
Dolphin 11.4.2 für Android ja
Ghostery 1.1.1 (Android) ja
Firefox 36 (Android) nein
Internet Explorer 11 (Windows Phone) nein
Mercury 2.2.3 (Android) ja
Opera 27 (Android) ja
Safari 8.0 für iOS ja
Standard-Browser für Android (Lollipop) ja


Freak-Schwachstelle in Desktop-Browsern

Desktop-Browser FREAK-Lücke vorhanden
Chrome 40 (OS X) ja
Chrome 40 (Windows) nein
Chrome 41 (OS X) nein
Chrome 41 (Windows) nein
Firefox 36 (OS X) nein
Firefox 36 (Windows) nein
Internet Explorer 11 (Windows) nein
Opera 27 für OS X ja
Opera 27 für Windows nein
Safari 8.0.2 (OS X 10.10.1) ja
Safari 8.0.5 (OS X 10.10.3 Beta) ja

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago