HTTPS-Verschlüsselung

FREAK - Sicherheitslücke auch im Internet Explorer

Sicherheitsexperten haben eine Schwachstelle in Android- und iOS-Browsern entdeckt. Die Sicherheitslücke namens FREAK ermöglicht das Mitlesen von Daten bei verschlüsselten HTTPS-Verbindungen. +++ Update: Auch Internet Explorer ist betroffen. +++

Security-Automatisierung

© Nmedia - Fotolia.com

Security-Automatisierung

Die Sicherheitsexperten von Inria und Microsoft, die zuerst von der FREAK-Lücke berichtet hatten, haben die Liste betroffener Browser erweitert. Demnach sind neben Safari und dem Android Standard-Browser auch der Internet Explorer, der Blackberry Browser und Chrome vor Version 41 betroffen. Chrome ist unter anderem bei Android-Geräten ab Version 4.4 als Standard-Browser im Einsatz. Auch weitere Browser könnten betroffen sein.

Sie sollten deshalb in jedem Fall die Sicherheit ihres Browsers über die Seite https://freakattack.com/ überprüfen, bevor Sie sensible Daten über eine verschlüsselte Verbindung übermitteln. Die Sicherheitsabfrage der Seite wurde den neuen Erkenntnissen entsprechend aktualisiert und zeigt jetzt unter anderem auch im Internet Explorer auf einem Windows PC die rot unterlegte Warnung.

Grund zur Panik besteht dennoch nicht: Für einen erfolgreichen Angriff muss ein unsicherer Browser auf eine Webseite treffen, die das schwache Sicherheitsprotokoll akzeptiert. Dies betrifft wohl noch rund 37 % aller HTTPS-verschlüsselten Seiten. Zudem muss der Angreifer für eine Man-in-the-Middle-Attacke gezielt in das Netzwerk eindringen. Vor allem in öffentlichen Netzwerken ist deshalb Vorsicht geboten.

05.03.2015, 16:35

Sicherheitslücke im Smartphone-Browser

Von der Sicherheitslücke FREAK (Factoring Attack on RSA-EXPORT Keys) sind vor allem der Safari-Browser auf iPhone, iPad und MacOS-X-Rechnern sowie der Standard-Browser auf Android-Geräten betroffen. Über die Schwachstelle können Angreifer die Daten von verschlüsselten HTTPS-Verbindungen mitlesen. Im Detail betroffen sind die Protokolle SSL und TLS, die für die Verschlüsselung der Daten zwischen den Browsern auf dem Client-Rechner und dem Server verantwortlich sind.

Lesetipp: iPhone-Diebe stehlen iCloud-Daten

Die Hintergründe dieser Sicherheitslücke gehen bis in die frühen 1990er Jahre zurück. Damals galten in den USA Export-Auflagen, die Software-Hersteller dazu zwangen, in Produkten, die ins Ausland geliefert wurden, eine relativ schwache 512-Bit-Verschlüsselung einzubauen. Auch nachdem die Gesetzgebung geändert wurde und stärkere Verschlüsselungstechniken für den Export ins Ausland freigegeben wurden, wurde diese "Export-Verschlüsselung" nicht aus den Internet-Protokollen entfernt. Das bedeutet, dass viele Clients und Server diese schwache Verschlüsselung nach wie vor unterstützen, auch wenn sie im Normalfall nicht mehr verwendet wird.

Wie Sicherheitsexperten von Inria und Microsoft jetzt entdeckten, können Angreifer diese Lücke über eine Man-in-the-Middle-Attacke ausnutzen. Dabei klinkt sich ein Angreifer zwischen den Server und den Client und zwingt den Browser dazu, statt der eigentlich voreingestellten starken und zeitgemäßen Verschlüsselungstechnik (etwa 2048-Bit-RSA) die schwache Exportversion zu nutzen. Dadurch kann der Angreifer die gesendeten Daten relativ leicht entschlüsseln und auslesen. Diese Lücke lässt sich in der Kommunikation zwischen Android-Browser bzw. Safari und rund 37 Prozent aller HTTPS-Seiten ausnutzen.

Um zu testen, ob Ihr Browser von der FREAK-Lücke betroffen ist, können Sie die Webseite https://freakattack.com/ aufrufen. Wenn dort ein Text auf blauem Hintergrund erscheint, sollte der Browser sicher sein. Ist der Text auf rotem Hintergrund (wie in unserem Screenshot), ist der Browser von der Lücke betroffen. Dann sollten Sie, bis das Problem behoben ist, auf einen anderen Browser umsteigen. Nach derzeitigen Erkenntnissen sollten die aktuellen Versionen von Chrome, Firefox und Internet Explorer nicht von FREAK betroffen sein, wie nakedsecurity schreibt. (Update: Internet Explorer ist ebenfalls betroffen, siehe oben.)

Apple hat angekündigt, die Lücke in der nächsten Woche durch ein Update für iOS und OS X zu schließen. Google hat nach eigenen Angaben bereits einen Patch an seine Hardware-Partner ausgeliefert. Wann und in welchem Umfang die jeweiligen Hersteller das Update an ihre Geräte verteilen, ist nicht bekannt.

Freakattack

© https://freakattack.com

Auf der Webseite https://freakattack.com kann man prüfen, ob der Browser von FREAK betroffen ist. In Safari auf dem iPhone erscheint diese Warnung rot hinterlegt.

Mehr zum Thema

Bitdefender-Logo
Google Play als Gefahrenquelle

Vermeintlich nützliche Anwendungen entpuppen sich als Adware. Bitdefender entlarvt Apps, vor denen sich Android-Nutzer in Acht nehmen sollten.
RIM Blackberry Bold 9790
Blackberry Link Bug

In der Synchronisationssoftware Blackberry Link ist eine kritische Sicherheitslücke, die PC und Macs bedroht. Ein Update steht bereit. Das BSI rät…
Nexus 6
Schwere Sicherheitslücke

Eine Lücke in der Multimedia-Schnittstelle Stagefright erlaubt Hackern den Zugriff auf Android-Smartphones. 950 Millionen Smartphones sind bedroht.
Nexus 5
Schutz vor Stagefright

Der Stagefright-Bug in Android ist seit Juli bekannt. Google startet heute den Bugfix an Nexus-Modelle. Die Telekom stoppt den automatischen Empfang…
Apps und TIpps für Antivirus, Antidiebstahl: Wir verraten, wie Sie Ihr Smartphone oder Tablet sichern können.
Android-Sicherheitslücke

Die Topmodelle von Samsung, Sony, HTC, Google und LG bekommen den Stagefright-Bugfix. Motorola bringt den Bugfix für's Moto E, Moto G und Moto X…
Alle Testberichte
Acer Switch Alpha 12
Detachable
75,4%
Das Acer Switch Alpha 12 ist das erste lüfterlose 2-in-1-Gerät mit Core-i-Prozessor. Im Test hinterlässt es einen…
Huawei P9 Plus
5,5-Zoll-Smartphone
88,0%
Huawei optimiert das P9 und heraus kommt ein echter Überflieger: Wir haben das Huawei P9 Plus getestet.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.