SSL-Sicherheitslücke
05.03.2015, 08:55 Uhr
Freak-Fehler bedroht Android und iOS
IT-Forscher haben eine Sicherheitslücke entdeckt, die SSL-Verbindungen unter Android, iOS und Mac OS X gefährdet. Der sogenannte Freak-Fehler soll mehr als 14 Millionen Webseiten betreffen.
Auf die SSL-Sicherheitslücken Heartbleed und Poodle folgt nun Freak: Sicherheitsexperten der französischen Forschungsanstalt INRIA und des mitLS-Teams haben eine schwere Sicherheitslücke entdeckt, die vermeintlich sichere SSL-Verbindungen unter Android, iOS und Mac OS X aushebeln soll. Der Fehler trägt den Namen Freak (Factoring Attack on RSA-Export Keys) und betrifft laut einer Untersuchung der Universität Michigan derzeit mehr als 14 Millionen per HTTPS ausgelieferte Webseiten - darunter befinden sich neben US-amerikanischen Behördenseiten wie Whitehouse.gov, NSA.gov und FBI.gov auch Webseiten, die hierzulande populär sind wie Deichmann.com, Porsche.com oder Giga.de. Auf der Webseite FreakAttack sind alle betroffenen Seiten aufgeführt, zudem finden Nutzer hier einen integrierten Browser-Test.
Wie funktioniert Freak?
Die Sicherheitslücke betrifft im Wesentlichen leichte Verschlüsselungs-Verfahren, die noch aus den Crypto-Wars der 90er Jahre stammen - damals hatte die US-Regierung den Export von sicheren Techniken eingeschränkt. Sobald ein Server diese sogenannten RSA_EXPORT Cipher-Suites unterstützt und der Client ebenfalls eine RSA_EXPORT Suite oder OpenSSL nutzt, ist ein Angriff möglich. Dabei zwingen manipulierte Anfragen den Browser dazu, auf eine unsichere Verbindung mit 512-Bit-Schlüssel umzusteigen - diese stellt kein grosses Hindernis für Hacker dar und erlaubt somit eine Man-in-the-Middle-Attacke. Manipulierte Webseiten sowie abgefangene Nutzerdaten und Passwörter sind im Angriffsfall die Folge.
Die Sicherheitsforscher haben alle betroffenen Seitenbetreiber sowie die Browser-Hersteller bereits informiert. Google hat der Washington Post berichtet, bereits einen Patch an die Gerätehersteller ausgeliefert zu haben - demnach liegt es nun an Samsung, LG und Co. die Updates auszuliefern. Der Chrome-Browser für Android ist nicht von Freak betroffen. Auch Apple soll schon an einer Aktualisierung arbeiten, diese werde in der kommenden Woche ausgerollt.