Sicherheitslücke FREAK hebelt SSL-Verschlüsselung vieler Browser aus
Forscher haben eine “FREAK” genannte Sicherheitslücke bekannt gemacht, die in erstr Linie Nutzer von Geräten mit Android und iOS betrifft. Die schon seit über zehn Jahre existierende Schwachstelle ermöglicht es Angreifern, die vermeintliche sichere Verschlüsselung zahlreicher Websites zu knacken. Wie die Washington Post berichtet gehören dazu zum Beispiel auch Whitehouse.gov, NSA.gov und FBI.gov. Apple und Google arbeiten bereits daran, die Lücke in ihren Mobil-Browsern zu schließen. Während die Desktop-Version von Safari durch die Sicherheitslücke FREAK ebenfalls betroffen ist, sind die aktuellen Versionen von Chrome, Firefox und Internet Explorer nicht anfällig.
FREAK ist die Abkürzung von “Factoring Attack on RSA-Export Keys”. Der Begriff bezieht sich auf eine Richtlinie der US-Regierung, die den Export starker Verschlüsselungstechnologien früher verbot und “schwächere” Produkte für den Export in andere Ländern vorschrieb. Die Einschränkungen wurden zwar Ende der neunziger Jahre aufgehoben, die schwache Verschlüsselung findet sich aber immer noch in zahlreichen Anwendungen.
Laut Washington Post ist es den Forschern der staatlichen französischen Forschungseinrichtung INRIA gelungen, Browser wie Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung zu nutzen. Sie hätten die anschließend innerhalb weniger Stunden geknackt und seien dann in der Lage gewesen, persönliche Informationen und Passwörter abzufangen. Zudem hätten sie die Kontrolle über Elemente auf den Websites übernommen, beispielsweise Facebooks Like-Button.
Die für den Export vorgesehen Verschlüsselungstechniken basieren offenbar auf einem 512-Bit-Schlüssel. Von denen hatten Experten angenommen, sie seien nicht mehr im Umlauf, heißt es weiter in dem Bericht. Den Forschern zufolge gibt es allerdings noch keine Hinweise darauf, dass Hacker den Fehler bereits ausgenutzt haben.
Apple kündigte gegenüber CNET einen Fix für die kommende Woche an. Google wird seinen Patch laut Washington Post Geräteherstellern und Mobilfunkanbietern zur Verfügung stellen. Ob und wann die das Update an ihre Kunden und Nutzer weiterleiten, bleibt jedoch abzuwarten.
Die Betreiber anfälliger Websites haben die Forscher ebenfalls vorab informiert, um ihnen Zeit zu geben, die Lücken zu schließen. Whitehouse.gov und FBI.gov seien inzwischen repariert worden, erklärten die Forscher. NSA.gov sei aber weiter anfällig.
FREAK zeigt auch, welche Konsequenzen Hintertüren in Sicherheitsfunktionen wie Verschlüsselung haben können, wie sie beispielsweise Geheimdienste immer wieder fordern. Matthew D. Green, Kryptografie-Experte an der Johns Hopkins University, warnt, dass jede Schwächung der Sicherheit die Komplexität erhöht, was Hacker für ihre Zwecke nutzen könnten. “Es kann nicht zur gleichen Zeit einen sicheren und einen unsicheren Modus geben”, zitiert die Washington Post zudem Christopher Soghoian, Principal Technologist der American Civil Liberties Union. “Wir haben gesehen, dass diese Fehler schließlich alle Nutzer betreffen.”
Nutzer können unter https://freakattack.com überprüfen, ob ihr Browser für die Schwachstelle anfällig ist. Dort findet sich auch eine Liste betroffener Server. Administratoren können ihre Server auf die Schwachstelle bei https://www.ssllabs.com/ssltest/index.html überprüfen. Eine Anleitung für eine korrekte Implementierung für SSL-Verschlüsselung hat Mozilla veröffentlicht.
[mit Material von Stefan Beiersmann, ZDNet.de]
<!– Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de –>Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.