Ein Restrisiko schließt Millard jedoch nicht aus. „Angreifer müssen einen 512-Bit-Chiffrierschlüssel knacken und darüber hinaus noch über Mittel und Wege verfügen, eine aktuelle Sitzung nach dem Man-in-the-Middle-Prinzip zu unterbrechen. Erst dann können sie Daten stehlen oder schädlichen Code einschleusen“, sagt der Sicherheitsspezialist. Das seit mit den verfügbaren Tools leichter als anzunehmen. Hierfür benötigten Cyberkriminelle nur wenige Stunden und laut einer Studie der Sicherheitsexpertin Nadia Heninger EC2-Zeit im Wert von 104 Dollar. Zusätzlich gibt Millard zu bedenken, sollte man in Betracht ziehen, „wie einfach es ist, Man-in-the-Middle-Attacken über Schwachstellen von Routern in Heimnetzwerken zu starten.“ Mit dieser Methode könnten Angreifer den Schlüssel knacken, den Traffic auf schadhafte Systeme umleiten und schädlichen Code einschleusen. Die angegriffenen Anwender bemerkten davon nichts, schließlich erscheint die Verbindung als rechtmäßig SSL/TLS-zertifiziert.
Entdeckt hat die mehr als zehn Jahre alte Schwachstelle ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria. Der Name Freak steht für „Factoring Attack on RSA-Export Keys“ und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und „schwächere“ Export-Produkte für Kunden in anderen Ländern vorschrieb.
Durch die Schwachstelle kann die vermeintliche sichere Verschlüsselung zahlreicher Websites, darunter auch Whitehouse.gov, NSA.gov und FBI.gov, kompromittiert werden. Apple und Google arbeiten bereits an einem Fix. Neben den mobilen Browser in iOS und Safari ist auch die Desktop-Version des Apple-Browsers von der Schwachstelle betroffen. Die aktuellen Varianten von Chrome, Firefox und Internet Explorer sind hingegen immun gegen Freak. Auch der in Blackberry 10.3.1 integrierte Browser ist anfällig für Freak.
Unter freakattack.com können Nutzer überprüfen, ob ihr Browser von der Schwachstelle betroffen ist. Für eine Überprüfung von Servern kann ein Test auf www.ssllabs.com/ssltest/index.html durchgeführt werden. Eine Anleitung für eine korrekte Implementierung für SSL-Verschlüsselung hat Mozilla veröffentlicht.
Freak-Schwachstelle in mobilen Browsern | |
| Mobile Browser | FREAK-Lücke vorhanden |
|---|---|
| Blackberry Browser 10.3.1.2243 | ja |
| Boat Browser 8.2.4 (Android) | ja |
| Chrome 40 (Android) | ja |
| Chrome 40 (iOS) | nein |
| Chrome 41 (Android) | nein |
| Dolphin 11.4.2 für Android | ja |
| Ghostery 1.1.1 (Android) | ja |
| Firefox 36 (Android) | nein |
| Internet Explorer 11 (Windows Phone) | nein |
| Mercury 2.2.3 (Android) | ja |
| Opera 27 (Android) | ja |
| Safari 8.0 für iOS | ja |
| Standard-Browser für Android (Lollipop) | ja |
Freak-Schwachstelle in Desktop-Browsern | |
| Desktop-Browser | FREAK-Lücke vorhanden |
|---|---|
| Chrome 40 (OS X) | ja |
| Chrome 40 (Windows) | nein |
| Chrome 41 (OS X) | nein |
| Chrome 41 (Windows) | nein |
| Firefox 36 (OS X) | nein |
| Firefox 36 (Windows) | nein |
| Internet Explorer 11 (Windows) | nein |
| Opera 27 für OS X | ja |
| Opera 27 für Windows | nein |
| Safari 8.0.2 (OS X 10.10.1) | ja |
| Safari 8.0.5 (OS X 10.10.3 Beta) | ja |
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
