SSL-Leck erlaubt Passwort-Klau

SicherheitSicherheitsmanagement

Wie sich ein Anfang des Monats entdecktes Leck im SSL-Protokoll ausnutzen lässt, hat jetzt ein türkischer Student gezeigt. Ihm gelangt es, trotz SSL-gesicherter Verbindung das Passwort eines Twitter-Accounts abzufangen.

Wie Anfang des Monats bekannt wurde, sind TLS ab Version 1.0 und SSL ab Version 3.0 anfällig für Man-in-the-Middle-Angriffe. Sicherheitsexperten waren allerdings der Meinung, der Designfehler in den Protokollen bei der Neuaushandlung von Verbindungsparametern zwischen Client und Server, ließe sich nur schwer ausnutzen und würde kaum brauchbare Daten liefern.

Der türkische Student Anil Kurmus hat nun das Gegenteil bewiesen und die Zugangsdaten eines Twitter-Accounts abgreifen können. Dafür schickte er manipulierte HTTPS-Requests an die Twitter-API und erreichte so, dass Nutzername und Passwort als Tweet veröffentlicht wurden – zwar kodiert, doch leicht zu dekodieren.

Bei der IETF arbeitet man bereits an einer neuen Version der Protokolle, um das Problem zu beheben. (Daniel Dubsky)