SSL-Sicherheitslücke
Freak-Fehler bedroht Android und iOS
von
Stefan
Bordel - 04.03.2015
Foto: Kaspersky
IT-Forscher haben eine Sicherheitslücke entdeckt, die SSL-Verbindungen unter Android, iOS und Mac OS X gefährdet. Der sogenannte Freak-Fehler soll mehr als 14 Millionen Webseiten betreffen.
Anfällig für Freak: Die Sicherheitslücke betrifft zumeist Android- und iOS-Nutzer.
Wie funktioniert Freak?
Die Sicherheitslücke betrifft im Wesentlichen leichte Verschlüsselungs-Verfahren, die noch aus den Crypto-Wars der 90er Jahre stammen - damals hatte die US-Regierung den Export von sicheren Techniken eingeschränkt. Sobald ein Server diese sogenannten RSA_EXPORT Cipher-Suites unterstützt und der Client ebenfalls eine RSA_EXPORT Suite oder OpenSSL nutzt, ist ein Angriff möglich. Dabei zwingen manipulierte Anfragen den Browser dazu, auf eine unsichere Verbindung mit 512-Bit-Schlüssel umzusteigen - diese stellt kein großes Hindernis für Hacker dar und erlaubt somit eine Man-in-the-Middle-Attacke. Manipulierte Webseiten sowie abgefangene Nutzerdaten und Passwörter sind im Angriffsfall die Folge.
Die Sicherheitsforscher haben alle betroffenen Seitenbetreiber sowie die Browser-Hersteller bereits informiert. Google hat der Washington Post berichtet, bereits einen Patch an die Gerätehersteller ausgeliefert zu haben - demnach liegt es nun an Samsung, LG und Co. die Updates auszuliefern. Der Chrome-Browser für Android ist nicht von Freak betroffen. Auch Apple soll schon an einer Aktualisierung arbeiten, diese werde in der kommenden Woche ausgerollt.
Update 06. März
Laut neuem Kenntnisstand der Sicherheitsforscher betrifft die Freak-Lücke auch den Internet Explorer unter Windows sowie andere Systeme und Browser.