Die Veröffentlichung folgt der kürzlichen Entdeckung kritischer Schwachstellen in den TLS/SSL-Protokollen wie dem Heartbleed-Bug in OpenSSL oder den Poodle-Bug. Google-Entwickler entdeckten diese gefährliche Sicherheitslücke in dem 15 Jahre alten Verschlüsselungsprotokoll SSL 3.0. Sie ermöglichte es Angreifern, Informationen zu entschlüsseln, die über eine damit gesicherte Verbindung transportiert wurden.
Nogotofail kann auf einem Router, einem Linux-Rechner oder einem VPN-Server eingesetzt werden. Es ist unter Android, iOS, Linux, Windows, Chrome OS oder OS X funktionsfähig – und damit praktisch auf jedem Gerät, das zur Herstellung einer Internetverbindung genutzt wird.
“Wir haben dieses Tool selbst für einige Zeit genutzt und mit den Entwicklern zusammengearbeitet, um die Sicherheit ihrer Apps zu verbessern”, schreibt in einem Blog Chad Brubaker, der bei Google an der Android-Sicherheit arbeitet. “Aber wir wollen, dass TLS/SSL so schnell wie möglich weitere Verbreitung findet.” Um andere zum Austesten ihrer Anwendungen anzuregen, wurde der Nogotofail-Code auf GitHub als Open-Source-Projekt freigegeben.
Die Veröffentlichung folgt außerdem Googles verstärktem Drängen der Softwareentwickler, jede Kommunikation mit SSL (Secure Sockets Layer) zu verschlüsseln und nicht nur ganz offensichtlich gefährdete Verbindungen wie etwa beim Onlinebanking. “Google engagiert sich dafür, TLS/SSL in allen Anwendungen und Diensten vermehrt zu nutzen”, schreibt Brubaker weiter. Aber ‘HTTPS everywhere’ ist nicht genug – es muss auch korrekt eingesetzt werden. Die meisten Plattformen und Geräte haben sichere Standardeinstellungen, aber einige Anwendungen und Bibliotheken setzen sich über sie hinweg und verspielen die Sicherheit. In einigen Fällen haben wir auch erlebt, dass Plattformen sich Fehler erlauben. Während Anwendungen komplexer werden, sich mit mehr Services verbinden und mehr Bibliotheken von Drittanbietern nutzen, können sich solche Fehler leichter einschleichen.”
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.