Sicherheitslücke „Freak“ bedroht Apple- und Android-Geräte [Update] Blackberry und IE auch betroffen

Forschern zufolge lassen sich die Browser von iOS und Android zwingen, eine unsichere Verschlüsselung zu benutzen. Sie lässt sich in wenigen Stunden knacken. Hacker können dann Passwörter abfangen und auch die Kontrolle über Elemente der betroffenen Websites übernehmen.

Forscher haben einem Bericht der Washington Post zufolge eine neue „Freak“ genannte Sicherheitslücke entdeckt, die vor allem Nutzer von iOS- und Android-Geräten anfällig für Hackerangriffe macht. Die mehr als zehn Jahre alte Schwachstelle führt dazu, dass sich die vermeintliche sichere Verschlüsselung zahlreicher Websites, darunter auch Whitehouse.gov, NSA.gov und FBI.gov, knacken lässt. Apple und Google arbeiten bereits an einem Fix. Auch die Desktop-Version von Safari ist von der Schwachstelle betroffen. Die aktuellen Varianten von Chrome, Firefox und Internet Explorer sind immun gegenüber Freak. Wie sich inzwischen herausgestellt hat, sind auch Internet Explorer und der in Blackberry 10.3.1 integrierte Browser ebenfalls anfällig gegenüber Freak.

(Bild: Shutterstock/Cousin_Avi)Der Name Freak steht für „Factoring Attack on RSA-Export Keys“ und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und „schwächere“ Export-Produkte für Kunden in anderen Ländern vorschrieb. Die Einschränkungen seien Ende der neunziger Jahre aufgehoben worden. Die schwache Verschlüsselung finde sich aber immer noch in zahlreichen Anwendungen, die zum Teil unbemerkt auch ihren Weg zurück in die USA gefunden hätten.

Den Forschern ist es laut Washington Post gelungen, Browser wie Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung zu nutzen. Sie hätten die Verschlüsselung anschließend innerhalb weniger Stunden geknackt und seien dann in der Lage gewesen, persönliche Informationen und Passwörter abzufangen. Zudem hätten sie die Kontrolle über Elemente auf den Websites übernommen, wie beispielsweise Facebooks Like-Button.

Die für den Export vorgesehen Verschlüsselungstechniken basieren offenbar auf 512-Bit-Schlüssel, von denen selbst Experten angenommen hatten, sie seien nicht mehr im Umlauf, heißt es weiter in dem Bericht. „Wir haben natürlich gedacht, die Leute nutzen die nicht mehr“, sagte Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung INRIA, dessen Team den Fehler bei der Analyse von Verschlüsselungssystemen entdeckt hat.

Den Forschern zufolge gibt es allerdings keine Hinweise dafür, dass Hacker den Fehler ausgenutzt haben. Apple kündigte gegenüber CNET einen Fix für die kommende Woche an. Google wird seinen Patch laut Washington Post Geräteherstellern und Mobilfunkanbietern zur Verfügung stellen. Ob und wann sie das Update an ihre Kunden und Nutzer weiterleiten, bleibt jedoch abzuwarten.

Die Betreiber der anfälligen Websites haben die Forscher ebenfalls vorab informiert, um ihnen Zeit zu geben, die Lücken zu schließen. Whitehouse.gov und FBI.gov seien inzwischen repariert worden, erklärten die Forscher. NSA.gov sei aber weiter anfällig.

Freak zeigt auch, welche Konsequenzen Hintertüren in Sicherheitsfunktionen wie Verschlüsselung haben können, wie sie beispielsweise Geheimdienste weltweit fordern. Matthew D. Green, Kryptografie-Experte an der Johns Hopkins University, warnt, dass jede Schwächung der Sicherheit die Komplexität erhöht, was Hacker für ihre Zwecke nutzen könnten. „Man schüttet damit Benzin ins Feuer. Wenn wir sagen, dass das die Dinge schwächt, dann haben wir einen Grund dafür.“ „Es kann nicht zur gleichen Zeit einen sicheren und einen unsicheren Modus geben“, zitiert die Washington Post Christopher Soghoian, Principal Technologist der American Civil Liberties Union. „Wir haben gesehen, dass diese Fehler schließlich alle Nutzer betreffen.“

[UPDATE 9.20 Uhr]

Unter freakattack.com können Nutzer überprüfen, ob ihr Browser für die Schwachstelle anfällig ist. Dort findet sich auch eine Liste betroffener Server. Administratoren können ihre Server auf die Schwachstelle bei https://www.ssllabs.com/ssltest/index.html überprüfen. Eine Anleitung für eine korrekte Implementierung für SSL-Verschlüsselung hat Mozilla veröffentlicht.

[UPDATE 9.38 Uhr]

Artikel wurde mit Hinweisen zu aktuellen Desktop-Browsern ergänzt.

[UPDATE 12.25 Uhr]

Liste betroffener Browser hinzugefügt.

[UPDATE 12.26 Uhr]

Der in Blackberry 10.3.1 integrierte Browser ist von der Schwachstelle auch betroffen.

[UPDATE 6.3. 13.49 Uhr]

Laut eines Security-Bulletins von Microsoft ist der in Windows integrierte Browser Internet Explorer anders als zunächst angenommen doch von der Lücke betroffen. Schuld daran hat die für die SSL-Verschlüsselung nötige Windows-Komponente schannel.  Sie ist anfällig gegenüber Freak. Microsoft plant bereits einen Patch. Wer nicht so lange warten will, ändert die Reihenfolge der SSL-Verschlüsselungsmethoden per gpedit. Ob auch Windows Phone von dem Fehler betroffen ist, hat Microsoft nicht mitgeteilt.

Der unter freakattack.com verfügbare Test, der Browser auf die Schwachstelle untersucht, ist inzwischen angepasst worden. Dieser hatte zunächst den Internet Explorer als unempfindlich gegenüber Freak ausgewiesen.

Freak-Schwachstelle in mobilen Browsern

Mobile Browser FREAK-Lücke vorhanden
Blackberry Browser 10.3.1.2243 ja
Boat Browser 8.2.4 (Android) ja
Chrome 40 (Android) ja
Chrome 40 (iOS) nein
Chrome 41 (Android) nein
Dolphin 11.4.2 für Android ja
Ghostery 1.1.1 (Android) ja
Firefox 36 (Android) nein
Internet Explorer 11 (Windows Phone) nein
Mercury 2.2.3 (Android) ja
Opera 27 (Android) ja
Safari 8.0 für iOS ja
Standard-Browser für Android (Lollipop) ja


Freak-Schwachstelle in Desktop-Browsern

Desktop-Browser FREAK-Lücke vorhanden
Chrome 40 (OS X) ja
Chrome 40 (Windows) nein
Chrome 41 (OS X) nein
Chrome 41 (Windows) nein
Firefox 36 (OS X) nein
Firefox 36 (Windows) nein
Internet Explorer 11 (Windows) ja
Opera 27 für OS X ja
Opera 27 für Windows nein
Safari 8.0.2 (OS X 10.10.1) ja
Safari 8.0.5 (OS X 10.10.3 Beta) ja

 

freakattack.com: Firefox ist nicht anfällig (Screenshot: ZDNet.de) freakattack.com: Safari ist anfällig (Screenshot: ZDNet.de)

[mit Material von Steven Musil, News.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Neueste Kommentare 

6 Kommentare zu Sicherheitslücke „Freak“ bedroht Apple- und Android-Geräte [Update] Blackberry und IE auch betroffen

Kommentar hinzufügen
  • Am 4. März 2015 um 10:21 von Peter

    Ok, das ist doch schön: „Apple kündigte gegenüber CNET einen Fix für die kommende Woche an. Google wird seinen Patch laut Washington Post Geräteherstellern und Mobilfunkanbietern zur Verfügung stellen. Ob und wann sie das Update an ihre Kunden und Nutzer weiterleiten, bleibt jedoch abzuwarten.“
    Zumindest für Apple Kunden. Androidler werden wohl nur mit Android 4.4 und höher in den Genuss kommen, d.h. >55% gehen wieder leer aus.

    • Am 4. März 2015 um 10:57 von Kai Schmerer

      >55% gehen wieder leer aus.
      Immerhin gibt es unter Android vollwertige Browser wie Firefox, die von der Schwachstelle nicht betroffen sind. Android-Nutzer sind damit sofort geschützt und müssen nicht auf einen Patch warten.

      • Am 4. März 2015 um 11:08 von Peter

        Stimmt natürlich, aber greifen die Apps nicht weiterhin auf den WebView-geschädigten Android Browser zu? Da hilft einem das umbiegen auf Browser wie Firefox oder Chrome doch auch nicht? Oder sehe ich das falsch? Wer die WebView Lücke ausnutzt, hat nun ein Werkzeug mehr – der Schaden wird für Betroffene umso größer?

        Dass Fixes nicht den Weg auf Endgeräte finden, ist nun einmal eine große Schwäche, die Google erst mit 4.4 behoben hat. Wer Geräte mit älter 4.4 besitzt, lebt definitiv gefährlicher. Ich glaube, darüber muss man nicht groß diskutieren. Das Update/Sicherheitskonzept hatte nun einmal Schwächen, und in Verbindung mit der Fragmentierung schlagen diese nun komplett durch.

        • Am 4. März 2015 um 11:27 von Kai Schmerer

          Die Webview-Lücke ist in Android 4.3 oder früher enthalten und in der Tat ein Sicherheitsproblem, da eine Vielzahl von Apps auf dieser Technik basieren. Da nutzt die Installation von Firefox natürlich nichts. Seit Android 4.4. basiert Webview auf Chrome und ist von dieser speziellen Lücke nicht betroffen.

          Die FREAK-Lücke hat mit der Webview-Lücke nichts zu tun. Um diese zu vermeiden, reicht die Installation von Firefox aus.

  • Am 4. März 2015 um 10:57 von M@tze

    Sorry für OT, aber da musste ich lachen: „Zudem hätten sie die Kontrolle über Elemente auf den Websites übernommen, wie beispielsweise Facebooks Like-Button“ OMG!!11!!1!

    • Am 4. März 2015 um 11:14 von Peter

      Für 5€ ‚like‘ ich Dich 100.000 Mal, ok? ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *