FREAK Sicherheitslücke: Anfälligkeit prüfen

Insbesondere iOS- und Android-Geräte sind anfällig für die Sicherheitslücke mit dem eindrucksvollen Namen FREAK. Kriminelle können hiermit den Browser des Nutzers zwingen eine unsichere Verschlüsselung zu nutzen, um diese dann zu knacken. Es ist jedoch nicht jeder betroffen und einige Hersteller haben bereits Updates bereitgestellt.

Ursache

Die eigentliche Schwachstelle ist bereits älter als zehn Jahre, wurde nun aber erst entdeckt. FREAK steht für Factoring Attack on RSA-Export Keys und steht in Verbindung mit einer Richtlinie der US-Regierung. Diese schrieb früher den Export von schwächeren Verschlüsselungen vor und verbot im gleichen Zug starke Verschlüsselungstechnologien. Diese Richtlinie soll Ende der neunziger aufgehoben worden sein, jedoch befinden sich die schwachen Verschlüsselungen noch in unzähliger Software, wie z.B. gängigen Internet-Browsern.

Wirkung

Den Forschern ist es laut Washington Post gelungen, verschiedene Browser zu zwingen die schwächere Verschlüsselung zu nutzen. Darunter fallen bspw. der Safari für iOS und der Chrome für Android. Die Verschlüsselung wurde dann innerhalb von Sekunden geknackt, was den Blick auf persönliche Informationen und Passwörter ermöglichte. Immerhin gibt es aktuell aber noch keinen Hinweis darauf, dass dieses Leck wirklich ausgenutzt wurde.

Schutz

Schützen kann man sich gegen diese Sicherheitslücke eigentlich kaum. Man ist letztlich auf die Hersteller angewiesen, die Updates bereitstellen müssen, damit iOS- und Android-Geräte nicht mehr anfällig sind. Nutzer von Apple-Geräten wurden bereits mit Updates versorgt, eine Prüfung auf aktuelle Updates sollte hier also unbedingt erfolgen. Auch Windows wurde bereits gepatcht, allerdings zum Teil mit einigen Problemen.

Man kann aber auch einfach auf freakattack.com prüfen, ob man überhaupt betroffen ist. Die Seite prüft, ob der Browser anfällig ist und gibt eine entsprechende Meldung aus. Erhält man eine Anzeige, wie im Bild oben, ist mit dem genutzten Browser erstmal alles in Ordnung. Erscheint ein roter Balken mit Warnhinweise, sollte nach Updates für den Browser, bzw. das Gerät gesucht werden. Werden für das eigene System keine Updates bereitgestellt, kann man letztlich auch auf einen sicheren Browser ausweichen. Hierzu zählt unter anderem der Firefox von Mozilla.

Fazit

Wenn man sich nun mal vor Augen hält, dass weltweit Geheimdienste derartige Lücken fordern, kann man sich das Ergebnis schon ziemlich gut vorstellen. Eine eigentlich sichere Verschlüsselung, künstlich zu verschlechtern, um im Notfall eine Hintertür zu haben, muss nicht bedeuten, dass diese nie gefunden wird. Sobald diese aber entdeckt wird, steht sie quasi jedem offen.

FREAK Sicherheitslücke: Anfälligkeit prüfen
Bewerte diesen Beitrag

Schreibe einen Kommentar