Android, Blackberry und Windows Phone weiterhin anfällig für Freak-Lücke

Während die Android-Versionen vor 4.4 weiterhin anfällig für die in der letzten Woche entdeckte Freak-Lücke sind, steht für Android 5.0 oder höher eine aktualisierte WebView-Komponente bereit, die vor Freak geschützt ist. Apple hat die Lücke in iOS und OS X mit iOS 8.2 geschlossen. Auch Nutzer von Desktop-Betriebssystem sind mittlerweile gegen Freak geschützt.

Die letzte Woche entdeckte Sicherheitslücke Freak ist auf vielen Plattformen nocht nicht behoben. So sind die meisten Android-Anwender weiterhin der Gefahr ausgesetzt, weil Google bisher nur für Android 5.0 die Schwachstelle in der Systemkomponente WebView behoben hat. Gestern stand das fragliche Update mit der Versionsnummer 40 (1779353) nur registrierten Beta-Testern zur Verfügung. Inzwischen ist sie allgemein zugänglich. Für Nutzer von Android 4.4 oder früher steht eine aktualisierte WebView-Komponente, die nicht anfällig gegenüber Freak ist, hingegen noch nicht zur Verfügung. Immerhin können diese noch mit einem Patch rechnen, während Google für Android 4.3 oder früher offiziell keine Sicherheitsupdates für WebView mehr bereitstellt. Das betrifft nach derzeitigem Stand circa 56 Prozent aller Android-Nutzer.

Smartphones mit Windows Phone 8.1 oder früher sind nach wie vor durch die Freak-Schwachstelle gefährdet. Während Microsoft für Windows-Dekstop-Betriebssysteme inklusive Windows 10 Technical Preview 9926 inzwischen einen Patch (KB3046049) ausgeliefert hat, steht eine Aktualisierung seines Mobilbetriebssystem noch aus.

Windows Phone ist anfällig egegnüber Freak (Screenshot: ZDNet.de)

Auch Blackberry hat noch keinen Patch für sein neuestes Betriebssystem Blackberry OS 10 ausgeliefert. Der in dem erst kürzlich auf Version 10.3.1.1565 aktualisierten Mobile OS enthaltene Browser 10.3.12243 ist anfällig gegenüber Freak.

Apple hingegen hat sowohl iOS als auch OS X mit Sicherheitspatches aktualisiert, die die Freak-Lücke schließen. Gefährdet sind allerdings Beta-Tester und Entwickler, die mit einer Vorabversion 10.10.3 ausgestattet sind. Für diese OS-X-Varianten hat Apple noch keine Sicherheitsaktualisierungen bereitgestellt.

Entdeckt hat die mehr als zehn Jahre alte Schwachstelle ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria. Der Name Freak steht für “Factoring Attack on RSA-Export Keys” und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb. Die Einschränkungen seien Ende der neunziger Jahre aufgehoben worden. Die schwache Verschlüsselung finde sich aber immer noch in zahlreichen Anwendungen, die zum Teil unbemerkt auch ihren Weg zurück in die USA gefunden hätten. Den Parisern Forschern ist es laut gelungen, Browser wie Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung zu nutzen. Sie hätten die Verschlüsselung anschließend innerhalb weniger Stunden geknackt und seien dann in der Lage gewesen, persönliche Informationen und Passwörter abzufangen.

Während man in Verbindung mit einem Desktop-Bertriebssystem durch die Wahl eines sicheren Browser wie Firefox der Freak-Lücke ausweichen kann, ist dies bei Mobilbetriebsystemen nicht so einfach. Lediglich Android-Nutzer sind in der Wahl eines vollwertigen Browsers frei. <s>Unter Windows Phone und Blackberry stehen hingegen keine Browseralternativen zur Verfügung. Nutzer müssen in desem Fall auf ein Update des Herstellers hoffen. Bis das nicht erscheint, sind ihre Geräte anfällig gegenüber der Freak-Schwachstelle.</s>. Diese Aussage ist falsch. Es gibt einige Browser für die jeweiligen Geräte. Nutzer sollten unter freakattack.com überprüfen, welche davon nicht von der Freak-Schwachstelle betroffen sind. Von Qualys gibt es ebenfalls einen Test. Dieser liefert auch Ergebnisse zu anderen SSL-Problemen wie der Poodle-Lücke.

Die Browser-Auswahl unter iOS ist eingeschränkt. Entwicklern ist es nicht erlaubt, ihre eigene Rendering-Engine zu nutzen. Dadurch haben entsprechende Produkte einen erheblichen Performancenachteil gegenüber dem in iOS integrierten Safari-Browser. Erst seit iOS 8 ist es möglich, dass Browser von Drittherstellern auf die optimierte JavaScript-Engine von Safari zurückgreifen können. Bisher hat allerdings noch keiner davon Gebrauch gemacht.

Unter Android ist die Gefahr vor der Freak-Lücke selbst bei Nutzung eines sicheren Browsers wie Firefox nicht gänzlich gebannt. Sehr viele Anwendungen nutzen zur Darstellung von Webinhalten die in Android integrierte WebView-Komponente. Die meisten Apps, die sich über Einblendung von Werbung finanzieren, verwenden diese beispielsweise. WebView basiert seit Android 4.4 auf Chrome und kann als eigenständige Applikation über den Google Play Store aktualisiert werden. Damit sind beispielsweise alternative Browser, die WebView nutzen, automatisch geschützt oder eben nicht – je nachdem, ob Google WebView mit Sicherheitsaktualisierungen absichert.

Nutzer von Android 4.3 sollten in jedem Fall einen Browser mit eigener und sicherer Rendering-Engine wie Firefox nutzen. Zudem sollten sie die Nutzung von werbefinanzierten Apps meiden. Andere Apps wie Facebook erlauben in den Einstellungen Links in einem externen Browser zu öffnen. Diese Option sollte aktiviert weren, sofern Firefox oder ein anderer sicherer Browser als Standard festgelegt ist. Alternativ sollte man Dienste deren App diese Option nicht bietet, per Browser nutzen.

Freak-Schwachstelle in mobilen Browsern**

Mobile Browser FREAK-Lücke vorhanden
Blackberry Browser 10.3.1.2243 ja
Blackberry Browser 10.3.1.2576 nein
Boat Browser 8.2.5 (Android*) nein
Chrome 40.0.2214.109 (Android) ja
Chrome 40 (iOS) nein
Chrome 41 (Android) nein
Dolphin 11.4.3 für Android* (Standard-Engine) nein
Dolphin 11.4.3 für Android (Jetpack) ja
Dolphin 1.0.0.418 (Blackberry) ja
Ghostery 1.1.1 (Android*) nein
Firefox 36 (Android) nein
Internet Explorer 11 (Windows Phone) ja
Kaspersky Safe Browser (Windows Phone) ja
Maxthon Browser (Windows Phone) ja
Mercury 2.2.3 (Android*) nein
Mercury 8.9.4 (iOS) nein
Opera 28 (Android) nein
Opera Coast 4.03 (iOS 8.2) nein
Opera Mini – beta (Blackberry) nein
Opera Mini 10 (iOS) nein
Opera Mini – beta (Windows Phone) nein
Safari für iOS (bis iOS 8.2) ja
Safari für iOS (ab iOS 8.2) nein
Standard-Browser für Android 5.0 Lollipop 40 (1779353) nein
UC Browser 4.2.1.541 für Windows Phone ja
Yandex 14.12 (Android) ja


*Browser, die WebView als Standard-Rendering-Engine nutzen, sind vor der Freak-Lücke geschützt, sobald von Google eine fehlerberinigte Version ausgeliefert wird. Unter Android 5.0 oder höher ist dies der Fall. Für Android 4.4. plant Google eine Aktualisierung, während für Android 4.3 oder früher keine Aktualisierungen geplant sind. ** Ergebnisse basieren auf Tests mit freakattack.com.

Freak-Schwachstelle in Desktop-Browsern

Desktop-Browser FREAK-Lücke vorhanden
Chrome 41 (OS X) nein
Chrome 41 (Windows) nein
Firefox 36 (OS X) nein
Firefox 36 (Windows) nein
Internet Explorer 11 nein
Maxthon Browser 4.4.4.3000 (Windows) nein
Opera 29 (OS X) nein
Opera 29 (Windows) nein
Safari 8.0.3 (OS X 10.10.2) nein
Safari 8.0.5 (OS X 10.10.3 Beta 14D87h) ja
Safari 8.0.5 (OS X 10.10.3 Beta 14D98g) nein
Yandex 15.2.2214.3645 (OS X) ja
Yandex 15.2.2214.3645 (Windows) nein

[Update 13.3.2015 10.13 Uhr] Angaben zur Verfügbarkeit von Browsern unter Blackberry und Windows Phone korrigiert.

[Update 17.3.2015 11.11 Uhr] Für das Blackberry Z30 steht inzwischen ein Patch zur Verfügung. Tablle wurde entsprechend ergänzt.

Neueste Kommentare 

4 Kommentare zu Android, Blackberry und Windows Phone weiterhin anfällig für Freak-Lücke

Kommentar hinzufügen
  • Am 12. März 2015 um 17:23 von Uwe Arnold

    Die Aussage auf dem Windows Phone würden keine anderen vollwertigen Browser zur Verfügung stehen ist aus meiner Sicht falsch. Zum Beispiel läuft Opera schnell und klaglos, es gibt aber auch noch andere. Offensichtlich gefallen sich die Redakteure darin, immer alles an einem Windows Phone schlecht zu machen ohne je eines selbst in der Hand gehabt zu haben. Anders sind solche Wissenslücken nicht erklärbar. Natürlich ist es trotzdem eine interessanter und hilfreicher Artikel.

    • Am 13. März 2015 um 10:17 von Kai Schmerer

      Danke für den Hinweis. Ich habe den Artikel korrigiert. Angaben, ob die alternativen Browser anfällig gegenüber der Freak-Schwachstelle sind, erscheinen in Kürze in der Tabelle.

  • Am 12. März 2015 um 19:29 von Opera

    Natürlich gibt es einen alternativen Browser für Windows Phone. Opera Mini.

  • Am 13. März 2015 um 8:23 von Anonymous

    Und es gibt den UC-Browser.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *