SSL-Sicherheitslücke

Freak-Fehler bedroht Android und iOS

von - 04.03.2015
Mann mit Matrix-Brille
Foto: Kaspersky
IT-Forscher haben eine Sicherheitslücke entdeckt, die SSL-Verbindungen unter Android, iOS und Mac OS X gefährdet. Der sogenannte Freak-Fehler soll mehr als 14 Millionen Webseiten betreffen.
Freak Sicherheitslücke Test
Anfällig für Freak: Die Sicherheitslücke betrifft zumeist Android- und iOS-Nutzer.
Auf die SSL-Sicherheitslücken Heartbleed und Poodle folgt nun Freak: Sicherheitsexperten der französischen Forschungsanstalt INRIA und des mitLS-Teams haben eine schwere Sicherheitslücke entdeckt, die vermeintlich sichere SSL-Verbindungen unter Android, iOS und Mac OS X aushebeln soll. Der Fehler trägt den Namen Freak (Factoring Attack on RSA-Export Keys) und betrifft laut einer Untersuchung der Universität Michigan derzeit mehr als 14 Millionen per HTTPS ausgelieferte Webseiten - darunter befinden sich neben US-amerikanischen Behördenseiten wie Whitehouse.gov, NSA.gov und FBI.gov auch Webseiten, die hierzulande populär sind wie Deichmann.com, Porsche.com oder Giga.de. Auf der Webseite FreakAttack sind alle betroffenen Seiten aufgeführt, zudem finden Nutzer hier einen integrierten Browser-Test.

Wie funktioniert Freak?

Die Sicherheitslücke betrifft im Wesentlichen leichte Verschlüsselungs-Verfahren, die noch aus den Crypto-Wars der 90er Jahre stammen - damals hatte die US-Regierung den Export von sicheren Techniken eingeschränkt. Sobald ein Server diese sogenannten RSA_EXPORT Cipher-Suites unterstützt und der Client ebenfalls eine RSA_EXPORT Suite oder OpenSSL nutzt, ist ein Angriff möglich. Dabei zwingen manipulierte Anfragen den Browser dazu, auf eine unsichere Verbindung mit 512-Bit-Schlüssel umzusteigen - diese stellt kein großes Hindernis für Hacker dar und erlaubt somit eine Man-in-the-Middle-Attacke. Manipulierte Webseiten sowie abgefangene Nutzerdaten und Passwörter sind im Angriffsfall die Folge.
Bilderstrecke
17 Bilder
Ahnlab - V3 Mobile
Anguanjia - Security Manager
Antiy - AVL
Avast - Mobile Security

31 Security-Apps im Test:

Die besten Virenscanner für Android

>>
Die Sicherheitsforscher haben alle betroffenen Seitenbetreiber sowie die Browser-Hersteller bereits informiert. Google hat der Washington Post berichtet, bereits einen Patch an die Gerätehersteller ausgeliefert zu haben - demnach liegt es nun an Samsung, LG und Co. die Updates auszuliefern. Der Chrome-Browser für Android ist nicht von Freak betroffen. Auch Apple soll schon an einer Aktualisierung arbeiten, diese werde in der kommenden Woche ausgerollt.

Update 06. März

Laut neuem Kenntnisstand der Sicherheitsforscher betrifft die Freak-Lücke auch den Internet Explorer unter Windows sowie andere Systeme und Browser.