Neue SSL/TSL-Sicherheitslücke: FREAK
FREAK macht die SSL-Verschlüsselung zahlreicher Webseiten angreifbar. Android und iOS sind aktuell betroffen. Über eine Man-in-the-Middle-Attacke können Angreifer die Daten mitlesen und sogar manipulieren.
Erneut wurde eine Sicherheitslücke in SSL/TLS aufgedeckt. Durch sie können schwache Schlüssel ausgehebelt werden. Safari und der Android-Browser sind noch offen, während OpenSSL bereits im Januar gefixt wurde. Die Lücke wurde durch ein bereits vor Jahren verworfenes US-Gesetz verursacht.
Ein Forscherteam des Johns Hopkins University Information Security Institute (JHUISI) fand heraus, dass mehr als ein Drittel der verschlüsselten Webseiten von"FREAK attack" betroffen sind. Dazu zählen unter anderem Seiten von American Express, Groupon, Kohl's und Marriott. Der Name FREAK steht für Factoring attack on RSA-EXPORT Keys.
Matthew Green, Wissenschaftler des JHUISI, gibt an, dass die Lücke auf ein altes Gesetz zurückgeht. Es nötigte US-amerikanische Entwickler, schwächere Sicherheitsstandards zur Verschlüsselung in ihrer Software zu implementieren, wenn diese auch für den Export zugelassen werden sollte. Nachdem das Gesetz jedoch nicht zum tragen kam, wurden die Standards jedoch vielerorts nicht angepasst.
Apple will in den nächsten Tagen ein Update bereitstellen. Auch Google hat eine Aktualisierung des Android-Browsers angekündigt. Auf der Seite
freakattack.com gibt es weitere Informationen. Außerdem lässt sich prüfen, ob das eigene Gerät anfällig ist.