2057271

FREAK bedroht Sicherheit in Safari und Android

04.03.2015 | 12:56 Uhr |

FREAK heißt die Abkürzung für eine Sicherheitslücke, die Millionen Android- und iOS-Nutzer gefährdet. Weil in den Browsern von Android und iOS seit vielen Jahren eine ernste Schwachstelle steckt, die das Mitlesen der Daten auch bei verschlüsselten HTTPS-Verbindungen ermöglicht. So prüfen Sie, ob Sie betroffen sind.

Sie nutzen Safari auf Ihrem iPhone oder iPad oder einem Mac? Oder den Android-Browser? Dann können Angreifer den darüber geführten SSL/TLS-Datenverkehr mitlesen. Denn Sicherheits-Experten haben eine Lücke in den beiden Browsern entdeckt, die sie FREAK (Factoring Attack on RSA-EXPORT Keys) getauft haben.

https-Verschlüsselung ist unsicher bei Android und Safari

Das Problem betrifft die Verschlüsselung von Inhalten, die über diese Browser übertragen werden (erkennbar in der URL-Zeile an dem „HTTPS“). Genauer gesagt sind das Secure Sockets Layer Protocol und dessen Nachfolger Transport Layer Security betroffen (SSL und TLS), die Daten zwischen den Browsern auf den Client-Rechnern und den Servern verschlüsseln. Anwendungen, die zur Verschlüsselung OpenSSL vor Version 1.0.1k verwenden, sind ebenfalls gefährdet.

Gefährdet sind nach dem derzeitigen Kenntnis Benutzer des Android-Browser und von Safari – also neben iPhone und iPad auch Macs. Windows- und Linux-Systeme sind offensichtlich nicht gefährdet. Wer auf Android-Geräten Chrome oder Firefox verwendet, sollte ebenfalls sicher sein. Die Lücke lässt sich übrigens bei der HTTPS-Kommunikation zwischen Android-Browser/Safari und zirka 37 Prozent aller HTTPS-Webseiten ausnutzen.

Politische Gründe

Die Vereinigten Staaten von Amerika hatten in den frühen 1990er Jahren durch Export-Auflagen erzwungen, dass Software-Hersteller nur einen relativ schwachen 512-Bit-Verschlüsselungsstandard eingebaut haben, der bereits Anfang der 2000er-Jahre leicht zu knacken war. Diese schwächere Verschlüsselung für SSL/TLS wurde in Produkte eingebaut, die ins Ausland geliefert wurden.

Als die USA später ihre Gesetzgebung änderten und die Verwendung von stärkeren Verschlüsselungstechniken auch für das Ausland erlaubten, haben die Software-Hersteller diese “Exportvariante” der Verschlüsselung nicht aus den genannten Internet-Protokollen entfernt, weil davon einige Programme abhingen.

Über viele Jahre bemerkte niemand dieses Problem. Bis nun Sicherheits-Experten die HTTPS-Lücke entdeckten und im Detail erklären. Angreifer können sie nämlich über eine Man-in-the-Middle-Attacke ausnutzen (dabei klinkt sich der Angreifer in die Verbindung zwischen Client und Server, ohne dass die Betroffenen etwas davon bemerken) und die eigentlich im Browser voreingestellte zeitgemäße stärkere Verschlüsselungstechnik wie 2048-Bit-RSA sozusagen heimlich „downgraden“ auf diese uralte Exportversion.

FREAK (Factoring Attack on RSA-EXPORT Keys)
Vergrößern FREAK (Factoring Attack on RSA-EXPORT Keys)

Das Problem betrifft nicht nur Geräte, auf denen iOS oder Android läuft. Sondern auch Embedded-Systeme und andere Produkte. Alle Server und Client-Rechner, die RSA_EXPORT-Verschlüsselung akzeptieren sind gefährdet. Administratoren von Websites erhalten hier Informationen dazu, wie sich das Problem lösen können. Wer eine Webseite beziehungsweise einen Server betreibt, sollte die Konfiguration so einstellen, dass das Auswählen einer schwächeren Verschlüsselung unterbunden wird.

So prüfen Sie, ob Sie betroffen sind

Tipp: Indem Sie diesen Webseite https://freakattack.com/ in Ihrem Browser aufrufen, können Sie sofort testen, ob Sie von dem Problem betroffen sind. Erscheint ein Warntext auf rotem Grund (wie auf unserem Android-Smartphone), dann sind Sie gefährdet. Erscheint stattdessen ein Text auf blauem Grund, dann sind Sie sicher (der folgenden Screenshot stammt aus Firefox):

Ihr Browser ist sicher
Vergrößern Ihr Browser ist sicher

Anwender, die feststellen, dass Sie betroffen sind, sollten auf einen anderen Browser wechseln. Beispielsweise zu Chrome oder Firefox, die von den Problem nicht betroffen sind. Und dann baldmöglichst die Updates aufspielen, sobald Sie von Apple und den Android-Smartphone-Herstellern zur Verfügung gestellt werden.

Apple hat bereits gemeldet, dass es die Lücke durch Updates für iOS und OS X in der nächsten Woche schließen wolle. Google wiederum sagte, dass es einen Patch bereits an seine Hardware-Partner ausgeliefert habe.

Die Lücke entdeckten Karthikeyan Bhargavan von INRIA, einem französischen Forschungs-Institut, und Microsoft Research. Die technischen Hintergründen werden in diesem PDF genau erklärt.

0 Kommentare zu diesem Artikel
2057271