Millionen Websites betroffen

Freak Attack wütet unter iOS und Android

Uhr | Aktualisiert
von Christoph Grau

Android- und iOS-Nutzer sind in Gefahr. Forscher haben eine Sicherheitslücke namens Freak aufgedeckt, welche die SSL-Verschlüsselung von Websites schwächt.

Das französische Forschungsinstitut Inria hat mit Microsoft eine gravierende Sicherheitslücke aufgedeckt. Die von den Forschern "Freak" - für Factoring attack on RSA-EXPORT Keys - getaufte Angriffsweise betrifft Android- und Apple-Geräte, schreibt Heise Online. Windows und Linux-Distributionen für den Desktop sind nach jetzigem Wissensstand nicht betroffen.

SSL-Verschlüsselung wird aufgeweicht

Insgesamt seien mehr als ein Drittel der über HTTPS geschützten Webseiten auf Freak-Attacken anfällig, ergab ein Scan der Universität Michigan. Mit der aufgedeckten Sicherheitslücke kann der über SSL/TLS geschützte Datenstrom abgefangen werden. Laut Heise gehe die Schwachstelle auf ein "für den Export künstlich geschwächte Verschlüsselungsverfahren" zurück, dass auf Druck der NSA in den 90er-Jahren durchgesetzt wurde. Dabei wird die starke SSL-Verschlüsselung in eine schwache 512-Bit-Verschlüsselung umgewandelt, die innerhalb weniger Stunden geknackt werden kann, sagte Kryptographin Nadia Heninger gegenüber Heise.

Unter anderem sollen auch die Website der NSA, von IBM und das Informations-Portal des FBI betroffen sein. Apple hat ein Patch für iOS und OS X für die kommende Woche angekündigt. Google liefere Patches bereits an seine Partner aus, schreibt Heise weiter.

Über die Website Freakattack.com können Nutzer und Administratoren prüfen, ob sie für die Angriffe anfällig sind.

Webcode
1206