Erhielt eine gefälschte E-Mail: Sergey Brin
Erhielt eine gefälschte E-Mail: Sergey Brin (Bild: Carlo Allegri/Reuters)

Phishing Mathematiker entdeckt zu kurze Schlüssel bei Google

Google und auch andere große Unternehmen nutzen zu kurze DKIM-Schlüssel, entdeckte der Mathematiker Zach Harris. Er schickte eine E-Mail an die beiden Google-Gründer mit der Adresse des jeweils anderen als Absender.

Anzeige

Zach Harris erhielt eine E-Mail von Google mit einem Stellenangebot. Das war für ihn zwar nicht interessant, ihm fiel beim Prüfen der Header aber auf, dass Google einen recht kurzen DKIM-Schlüssel verwendet. Damit werden E-Mails signiert, um sicherzustellen, dass sie wirklich von der jeweiligen Domain stammen.

Da Googles Schlüssel aber nur 512 Bit lang war, habe Harris diesen leicht knacken und seinerseits damit E-Mails signieren können, berichtet Wired. Um auf das Problem aufmerksam zu machen, schickte er eine E-Mail an Google-Gründer Larry Page, gab als Absender die E-Mail-Adresse von Google-Gründer Sergey Brin an und umgekehrt.

Eine Antwort erhielt Harris zwar weder von Page noch von Brin, stellte aber fest, dass Google kurz darauf seine DKIM-Schlüssel austauschte. Diese haben nun eine Länge von 2.048 statt 512 Bit. Google bestätigte Wired die Änderung.

Allerdings ist Google nicht das einzige große Unternehmen, das zu kurze DKIM-Schlüssel verwendet, welche eigentlich mindestens 1.024 Bit lang sein sollten. Harris fand auch bei Paypal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com und HSBC zu kurze Schlüssel zwischen 348 und 768 Bit. Yahoo, eBay, Twitter und Amazon würden wie Google Schlüssel mit 512 Bit nutzen, Paypal, LinkedIn, US Bank und HSBC immerhin 768 Bit, so Harris zu Wired. Aber auch 768 Bit hält er für zu kurz, da sich die Schlüssel mit ausreichend Ressourcen knacken lassen.

Harris hatte die Unternehmen in den vergangenen Monaten informiert, viele haben daraufhin ihre Schlüssel angepasst. Demnächst will das CERT Coordination Center der Carnegie-Mellon-Universität ein entsprechendes Advisory veröffentlichen.


skchang 29. Okt 2012

Habe auch eine Anfrage von Google abgelehnt. Bin momentan glücklich in der Forschung...

e-noodle 26. Okt 2012

Never attribute to malice that which is adequately explained by stupidity. - Robert J...

Endwickler 25. Okt 2012

Zum einen können sie durchaus selbst drauf gekommen sein ohne einen Handlungsbedarf zu...

baltasaronmeth 25. Okt 2012

rfc4871:

S-Talker 25. Okt 2012

Wenn ich eine Mail Erhalte von einer Person/einem Unternehmen erhalte, mit dem ich...

Kommentieren



Anzeige

  1. Lead Digital Program Manager (m/w)
    CONDÉ NAST VERLAG GMBH, München
  2. Softwareentwickler / Softwareentwicklerin für den Bereich Datenmanagement
    BBF GmbH, München und Dresden
  3. Process Owner (m/w) IT Financial Management - Methoden und Prozesse
    Daimler AG, Stuttgart
  4. ABAP Software Ingenieur (m/w) für Entwicklung und Support
    REALTECH AG, Walldorf

 

Detailsuche


Top-Angebote
  1. GÜNSTIGER: The Elder Scrolls Online: Tamriel Unlimited
    14,99€ (bald ohne Abo spielbar!)
  2. NEU: Ryse: Son of Rome (PC Steam Code)
    15,97€ USK 18
  3. Transcend 1.000-GB-SSD
    329,99€

 

Weitere Angebote


Folgen Sie uns
       

  1. Datenschutz

    Microsoft Outlook für iOS und Android mit gefährlicher Funktion

  2. Quartalsbericht

    Googles Werbeeinahmen wachsen nicht mehr so stark

  3. Quartalsbericht

    Amazons Ausgaben steigen auf 28,7 Milliarden US-Dollar

  4. Operation Eikonal

    Telekom sieht sich als Abschleppdienst des BND

  5. Android

    Microsoft will wohl in Cyanogen investieren

  6. Wirtschaftsminister

    NRW will 100 Millionen Euro in Breitbandausbau stecken

  7. Word, Excel, Powerpoint

    Microsoft veröffentlicht neue Office-Apps für Android

  8. 3D-Filme im Flugzeug

    Gear VR fliegt in Qantas' A380 mit

  9. Verkehrsgerichtstag

    Nehm will Mautdaten zur Verbrechensaufklärung nutzen

  10. Far Cry 4 & Co

    Mindestens 150.000 Euro Schaden durch Key-Reseller



Haben wir etwas übersehen?

E-Mail an news@golem.de



Sentry Eye Tracker ausprobiert: Nur Anfänger starren auf die Mini-Map
Sentry Eye Tracker ausprobiert
Nur Anfänger starren auf die Mini-Map
  1. Mad Catz Mobiler Alleskönner-Controller Lynx 9 vorgestellt
  2. Smartpen Livescribe 3 lernt Android
  3. Eingabegerät Apple erhält Patent für funkenden Stift

Präsenz ist die neue Immersion: Die Zukunft von Virtual und Augmented Reality
Präsenz ist die neue Immersion
Die Zukunft von Virtual und Augmented Reality
  1. WebVR Oculus-Support im Firefox Nightly
  2. Virtual Reality Facebook sucht Oculus-Experten
  3. Magic-Leap-Patente AR-Brille lässt Herzen in OP-Sälen schweben

Sony Alpha 7 II im Test: Fast ins Schwarze getroffen
Sony Alpha 7 II im Test
Fast ins Schwarze getroffen
  1. Systemkamera Olympus kündigt neues Modell im OM-D-System an
  2. Seek XR Wärmebildkamera mit Zoom für Android und iOS
  3. Geco Mark II Federleichte Actionkamera für den Brillenbügel

    •  / 
    Zum Artikel