“Freak”-Lücke bedroht iOS, Android und Blackberry

(Bild: Josh Long / CNET)

Eine Jahrealte Schwachstelle sorgt für Furore. Vor allem Mobile Geräte sind für das Sicherheitsleck Freak verwundbar. Sicherheitsforscher haben jetzt gezeigt, dass sich damit aber aktuelle Verschlüsseltungstechnologien umgehen lassen. Das Leck erfreut sich großer Verbreitung.

Sicherheitsforscher warnen vor einem neuen Sicherheitsleck, das mobile Geräte gefährdet. Laut Washington Post sind es vor allem iOS- und Android-Geräte, die für “FREAK” anfällig sind.

Diese Schwachstelle ist mehr als zehn Jahre alt und führt dazu, dass sich die vermeintliche sichere Verschlüsselung zahlreicher Websites, darunter auch Whitehouse.gov, NSA.gov und FBI.gov, knacken lassen. Apple und Google arbeiten bereits an einem Fix. Auch die Desktop-Version von Safari ist von der Schwachstelle betroffen. Die aktuellen Varianten von Chrome, Firefox und Internet Explorer sind immun gegenüber FREAK. Auch der in Blackberry 10.3.1 integrierte Browser ist ebenfalls anfällig gegenüber FREAK.

Chrome ist nicht für die Freak-Leck verwundbar. (Screenshot: ZDNet.de)
Chrome ist wie Firefox und Internet Explorer nicht für die Freak-Leck verwundbar. (Screenshot: ZDNet.de)

Der Name FREAK steht für “Factoring Attack on RSA-Export Keys” und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb. Die Einschränkungen seien Ende der neunziger Jahre aufgehoben worden. Die schwache Verschlüsselung finde sich aber immer noch in zahlreichen Anwendungen, die zum Teil unbemerkt auch ihren Weg zurück in die USA gefunden hätten.

Den Forschern ist es laut Washington Post gelungen, Browser wie Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung zu nutzen. Sie hätten die Verschlüsselung anschließend innerhalb weniger Stunden geknackt und seien dann in der Lage gewesen, persönliche Informationen und Passwörter abzufangen. Zudem hätten sie die Kontrolle über Elemente auf den Websites übernommen, wie beispielsweise Facebooks Like-Button.

Apples Safari-Browser ist durch die Sicherheitslücke Freak gefährdet. (Screenshot: ZDNet.de)
Apples Safari-Browser ist durch die Sicherheitslücke Freak gefährdet. (Screenshot: ZDNet.de)

Die für den Export vorgesehen Verschlüsselungstechniken basieren offenbar auf 512-Bit-Schlüssel, von denen selbst Experten angenommen hatten, sie seien nicht mehr im Umlauf, heißt es weiter in dem Bericht. “Wir haben natürlich gedacht, die Leute nutzen die nicht mehr”, sagte Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung INRIA, dessen Team den Fehler bei der Analyse von Verschlüsselungssystemen entdeckt hat.

Den Forschern zufolge gibt es allerdings keine Hinweise dafür, dass Hacker den Fehler ausgenutzt haben. Apple kündigte gegenüber CNET einen Fix für die kommende Woche an. Google wird seinen Patch laut Washington Post Geräteherstellern und Mobilfunkanbietern zur Verfügung stellen. Ob und wann sie das Update an ihre Kunden und Nutzer weiterleiten, bleibt jedoch abzuwarten.

Die Betreiber der anfälligen Websites haben die Forscher ebenfalls vorab informiert, um ihnen Zeit zu geben, die Lücken zu schließen. Whitehouse.gov und FBI.gov seien inzwischen repariert worden, erklärten die Forscher. NSA.gov sei aber weiter anfällig.

FREAK zeigt auch, welche Konsequenzen Hintertüren in Sicherheitsfunktionen wie Verschlüsselung haben können, wie sie beispielsweise Geheimdienste weltweit fordern. Matthew D. Green, Kryptografie-Experte an der Johns Hopkins University, warnt, dass jede Schwächung der Sicherheit die Komplexität erhöht, was Hacker für ihre Zwecke nutzen könnten. “Man schüttet damit Benzin ins Feuer. Wenn wir sagen, dass das die Dinge schwächt, dann haben wir einen Grund dafür.” “Es kann nicht zur gleichen Zeit einen sicheren und einen unsicheren Modus geben”, zitiert die Washington Post Christopher Soghoian, Principal Technologist der American Civil Liberties Union. “Wir haben gesehen, dass diese Fehler schließlich alle Nutzer betreffen.”

Unter https://freakattack.com können Nutzer überprüfen, ob ihr Browser für die Schwachstelle anfällig ist. Dort findet sich auch eine Liste betroffener Server. Administratoren können ihre Server auf die Schwachstelle bei https://www.ssllabs.com/ssltest/index.html überprüfen. Eine Anleitung für eine korrekte Implementierung für SSL-Verschlüsselung wurde von Mozilla veröffentlicht.

FREAK-Schwachstelle in mobilen Browsern

Mobile Browser FREAK-Lücke vorhanden
Blackberry Browser 10.3.1.2243 ja
Boat Browser 8.2.4 (Android) ja
Chrome 40 (Android) ja
Chrome 40 (iOS) nein
Chrome 41 (Android) nein
Dolphin 11.4.2 für Android ja
Ghostery 1.1.1 (Android) ja
Firefox 36 (Android) nein
Internet Explorer 11 (Windows Phone) nein
Mercury 2.2.3 (Android) ja
Opera 27 (Android) ja
Safari 8.0 für iOS ja
Standard-Browser für Android (Lollipop) ja


FREAK-Schwachstelle in Desktop-Browsern

Desktop-Browser FREAK-Lücke vorhanden
Chrome 40 (OS X) ja
Chrome 40 (Windows) nein
Chrome 41 (OS X) nein
Chrome 41 (Windows) nein
Firefox 36 (OS X) nein
Firefox 36 (Windows) nein
Internet Explorer 11 (Windows) nein
Opera 27 für OS X ja
Opera 27 für Windows nein
Safari 8.0.2 (OS X 10.10.1) ja
Safari 8.0.5 (OS X 10.10.3 Beta) ja

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.