SSL: Freak Attack macht Millionen Webseiten unsicher

Ein Relikt aus den 90er Jahren, als die US-Regierung die Nutzung von starker Kryptographie zugunsten der NSA einschränkte, zeigt sich nun als Schwachstelle: Wenn Android oder Apple Nutzer einer der Millionen betroffenen Webseite aufrufen, können ihre Daten mitgeschnitten und manipuliert werden. Ob BlackBerry und WindowsPhone auch betroffen sind, steht noch aus.

Eine Gruppe von Sicherheitsforschern entdeckte das Angriffsszenario Freak. Es erlaubt mit SSL/TLS geschützten Datenverkehr zu entschlüsseln, Betroffen sind Android- und Apple-Geräte und Mac-Computer mit OS X. Windows und Linux sollen nicht davon betroffen sein.

Von 14 Millionen gescannten über HTTPS gesicherten Webseiten ergab, dass 36% anfällig für die Attacke seien. Darunter auch viele Content Delivery Networks (CDN) wie Akamai. Aber auch Seiten von Geldinstituten wie americanexpress.com. Ironischerweise ist die Seite der NSA sowie das Informanten-Portal des FBI betroffen.

Apple will kommende Woche einen Patch für iOS und OS X veröffentlichen. Google verteile bereits Patches an Partner und hält betroffene Webseitenbetreiber dazu an, die Export-Cipher zu deaktivieren. Denn durch diese führt die Attacke zu einem Fallback auf eine 512Bit Verschlüsselung, die binnen 7 Stunden geknackt werden kann.

Quelle

Forumsdiskussion

Dieser Beitrag hat 2 Kommentare

Schreibe einen Kommentar