Sicherheitslücke aus den 90ern macht Safari und den Stock-Android Browser anfällig für Hacker-Angriffe

Ein Kryptographen-Team hat eine Sicherheitslücke entdeckt, die Nutzer von Apples Browser Safari für Mac und iOS sowie Googles Stock-Browser für Android anfällig für Hacks macht. Der Knackpunkt bei der Sicherheitslücke ist, dass sie seit den 1990er Jahren besteht.

MacBook

Die Sicherheitslücke wurde von den Kryptographen „Factoring attack on RSA-EXPORT Key“ oder kurz „FREAK-Attack“ getauft. Diese soll Safari für den Mac und iOS und den Stock-Browser für Android auf bestimmten Seiten  anfällig für fremde Zugriffe machen. Auf einer dedizierten Seite der FREAK-Studie werden die betroffenen Seiten aufgelistet, unter denen sich eine Handvoll deutsche Seiten wie Giga.de, Testberichte.de, Filmstarts.de usw. befinden.

Grund für die Anfälligkeit ist eine Verschlüsselungsmethode der US-amerikanischen Regierung aus den 90er Jahren, die damals Webseitenbetreibern vorschrieb, dass Besucher aus Übersee nur mit einer schwachen 512-bit Verschlüsselung auf die Seiten zugreifen dürfen, wohingegen Amerikaner mit einer sichereren Verschlüsselung Seiten besuchen konnten. Damals gab es noch keine SSL-Verschlüsselung, bzw. befand sie sich damals noch in der Entwicklungsphase.

Doch die SSL-Entwickler hatten damals einen Mechanismus entwickelt, der beide Verschlüsselungen bewerkstelligen konnte. Als die US-Regierung die Vorschrift wieder einstampfte, war es schon zu spät und der Mechanismus wurde bereits in unzähliger Software genutzt.

Das Kryptographen-Team war laut eigener Aussage demnach in der Lage besagten Browser die schwache 512-bit Verschlüsselung aufzuzwingen, die schlussendlich nach sieben Stunden mithilfe von 75 Computern gehackt waren. Zum Vergleich: Mit einer 1024-bit Verschlüsselung würde das Team ein paar Millionen Computer und rund ein Jahr benötigen, um einen der Browser zu hacken.

Als ob dies nicht schon schlimm genug wäre, meldete sich Professor Matthew Green, seines Zeichens Forscher am Johns Hopkins Institute zu Wort. Er meint, dass diese zweigleisige Verschlüsselungsmethode in der Theorie dazu dienen konnte, der NSA Zugriff auf die Kommunikation von ausländischen Besuchern zu ermöglichen. Dies lässt natürlich Fragen offen, inwieweit die NSA dies in den letzten 20 Jahren bereits für sich genutzt hat, um Hintertüren in Software oder Webseiten einzubauen.

Jedenfalls sind sich sowohl Apple als auch Google der Sicherheitslücke bewusst und versprachen ein Sicherheitsupdate. Apple will ein Update für Safari für iOS und Mac bereits in der kommenden Woche ausrollen. Auch Google arbeitet an einem Patch, jedoch hängt der Rollout zeitlich von den jeweiligen Mobilfunkanbietern und Herstellern ab, da diese final den Patch an die Geräte ausliefern müssen. Wer nun verunsichert ist, könnte in der Zwischenzeit zum Chrome Browser für PC, Mac oder Mobile überwechseln. Dieser ist offenbar nicht für die Sicherheitslücke anfällig.

(Quelle: Engadget)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

17 Kommentare

  1. Chrome ist sicher. Was ist mit Firefox?

    Hier rächt sich mal wieder, dass Apple unter iOS den Einsatz alternativer Browser-Engines verhindert.

  2. Hab’s gerade ausprobiert: Firefox ist sicher.
    Sowohl unter Windows als auch unter Android. 🙂

  3. Wie jetzt? Apple und unsicher? Kann nicht sein, da gibt es keine Viren oder Angriffe. Außerdem funktioniert da immer alles und alles ist suuuuper toll!

  4. Tja, wenn man sich mal auf OpenSource verlässt…

  5. FriedeFreudeEierkuchen says:

    @Horst Meier: Unwissenheit oder Troll?

  6. Ich dachte, Chrome wäre der Stockbrowser für Android.

  7. Nein erst seit Android 4 ist Chrome Standard. Vorher gabs diese Blaue Planetenkugel. Der wurde auf Websites auch immer als Safari angezeigt. Kann aber auch nicht sagen wie er heißt. Ist in einigen Custom Roms noch drauf wie bei dem Googel Nexus CM 11 was bei mir im Auto als Hotspot liegt.

  8. Öhm… Bei mir (Nexus 9, Lollipop) ist Chrome auch noch betroffen. Allerdings nur in der normalen Version. Beta hat kein Problem. Ich schätze mal, dass die Lücke also im Android WebView ist. Dessen Beta ist auch nicht besser. Also: Für Lollipop sollte man auf Chrome BETA wechseln!

  9. Also sind die Formulierungen zumindest missverständlich. Android 4 oder höher läuft doch auf der Mehrzahl der Android-Geräte.

  10. Chrome auf iOS ist Safe wollte ich sagen. Das drecks Kommentarfeld spastet rum!

  11. Unfassbar! Bei uns werden immer noch alle Geräte (Nexus 10, Nexus 7v2, oneplus one, Z4) als iOS Gerät dargestellt, was ich heute Morgen erschrocken getestet habe. KeiWunder das iOS die Nummer 1 im Web sein soll **kopfschüttel** Egal ob wir den Chrome Browser, Firefox, Dolphin benutzen, es wird immer ein iOS Gerät angezeigt 🙁

  12. @Max: da sprichst du etwas echt Interessantes an. Peinlich,wie frech Apple mit diesem Bug Propaganda für eigene Zwecke betreibt und sich nicht zu blöd vorkommt, immer wieder von über 90% des mobilen Webtraffics via iOS zu sprechen. Klar, die Milliarden Androidgeräte kennen kein mobiles Surfen über einen Browser bzw. das Nutzererlebnis ist so grausam, dass die bemitleidenswerten Androidnutzer es lieber lassen.
    Peinlich, dass dies die versammelte Presse seit Jahren unkommentiert lässt oder es gar noch weiter verbreitet, obwohl dieser Bug seit Jahren bekannt ist.

  13. @max
    da „viele“ Seiten nur auf iOS Optimiert sind, sprich wenn du mit einem Chrom Mobile ankommst als Kennung bekommst du keine Optimierte Ansicht, wenn du mit iOS daher kommst hast du die Optimierte Ansicht. Deswegen ist die tolle iOS hat soviel Anteile im Web voll für den Arsch und das nicht erst seit diesem Jahr.

  14. Hab ich es richtig verstanden, dass es
    1. Ein Fallback ist, der genutzt wird, wenn der Server keine anderen Verfahren unterstützt
    2. Ein Man-In-The-Middle die Server-Funktion übernehmen muss.

    Im Endeffekt also ein WLAN, dass zum Ausspähen aufgestellt wurde?
    Trotzdem ist des sinnvoll einen „schlechten“ Verschlüsselungs-Fallback mal zu entfernen.