Abo
  • Services:
Anzeige
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye)

Schwache Verschlüsselung: Tausende Apps könnten von Freak-Schwachstelle betroffen sein

Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye)

Die durch den Freak-Angriff ausgelöste schwache Verschlüsselung macht auch viele Apps unsicher. Betroffen sind laut ersten Untersuchungen mehrere populäre Anwendungen für Android und iOS.

Anzeige

Vor allem bei Anwendungen, die Passwörter oder Kreditkarteninformationen übermitteln, könnten Angreifer die jüngst entdeckte Freak-Schwachstelle ausnutzen. Einer Untersuchung des IT-Sicherheitsunternehmens Fireeye zufolge sind insgesamt 1.228 aus 10.985 Android-Apps mit mehr als einer Million Downloads sowie 771 aus den 14.079 populärsten Apps für iOS betroffen.

Die Freak-Schwachstelle setzt voraus, dass sowohl die App als auch der Server, mit dem die Anwendung eine verschlüsselte Verbindung aufbaut, den uralten Export-Verschlüsselungsalgorithmen in TLS weiterhin nutzen. Angreifer könnten beispielsweise in öffentlichen WLANs speziell präparierte Pakete an den Server schicken, mit dem sich eine App verbinden will, und so eine Verbindung mit dem schwachen, temporären 512-Bit-RSA-Schlüssel im Export-Modus forcieren.

Kreditkarteninformationen und Zugangsdaten gefährdet

Als Beweis hat Fireeye in seinem Blogpost zwei Screenshots veröffentlicht. Einer zeigt abgegriffene entschlüsselte Zugangsdaten, der andere Kreditkarteninformationen. Statistiken von Fireeye zufolge wurde Anfang März die Freak-Schwachstelle zwar in einigen Apps behoben, die Mehrzahl ist aber weiterhin anfällig für den Angriff. Welche Apps genau betroffen sind, wird jedoch nicht erwähnt.

Inzwischen wurde die Lücke in weiteren Krypto-Bibliotheken geschlossen, darunter in der für iOS 8.2 und früheren Versionen von Apples mobilem Betriebssystem sowie in Openssl und Libressl. Anfällig für den Angriff sind laut der Webseite Smacktls der Browser in Blackberrys Betriebssystem sowie in Androids Standardbrowser. Auch zahlreiche Geräte von Cisco nutzen nach wie vor eine unsichere Version von Openssl.

Überbleibsel aus den Kryptokriegen

Die Export-Verschlüsselungsalgorithmen in TLS sind ein Relikt aus den 90er Jahren. Die USA hatten damals Gesetze, die die Nutzung starker Kryptographie und insbesondere deren Export einschränkten. Die politischen Auseinandersetzungen um derartige Einschränkungen von Verschlüsselungstechnik bezeichnete man auch als Crypto Wars. Mit dem TLS-Vorgänger SSL wurden Algorithmen eingeführt, die absichtlich schwache Schlüssel nutzten.


eye home zur Startseite
Felix_Keyway 23. Mär 2015

Wenn ich das richtig verstanden habe, dann ist auch TLS betroffen, sofern eine schwache...

schurlii 23. Mär 2015

Es sind nicht nur Clients betroffen, serverseitig ist es auch noch lange nicht gelöst und...

AllAgainstAds 23. Mär 2015

wird Sturm ernten. Jetzt zeigt sich, welche Nachteile das Graben einer Grube für...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. Gundlach Bau und Immobilien GmbH & Co. KG, Hannover
  3. Deutsche Telekom AG, Frankfurt am Main, Bonn
  4. MSH Medien System Haus GmbH & Co. KG, Stuttgart


Anzeige
Hardware-Angebote
  1. und Gratis-Produkt erhalten
  2. €205,89€ mit Gutscheincode M5IT

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  2. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  3. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  4. Funkchips

    Apple klagt gegen Qualcomm

  5. Die Woche im Video

    B/ow the Wh:st/e!

  6. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  7. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  8. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  9. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  10. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Verwirrung Assange will nicht in die USA - oder doch?
  2. Nach Begnadigung Mannings Assange weiter zu Auslieferung in die USA bereit
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Shield TV (2017) im Test: Nvidias sonderbare Neuauflage
Shield TV (2017) im Test
Nvidias sonderbare Neuauflage
  1. Wayland Google erstellt Gamepad-Support für Android in Chrome OS
  2. Android Nougat Nvidia bringt Experience Upgrade 5.0 für Shield TV
  3. Nvidia Das Shield TV wird kleiner und kommt mit mehr Zubehör

Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

  1. Re: Apple verklagt Qualcomm weil sie ihnen...

    ChristianKG | 22:44

  2. Re: Ich denke ich weiss, was hier das Problem ist

    christoph89 | 22:38

  3. Re: Komplett integer

    violator | 22:26

  4. Re: RK3288 Software Support

    nille02 | 22:21

  5. Re: Tutanota

    twothe | 22:19


  1. 16:49

  2. 14:09

  3. 12:44

  4. 11:21

  5. 09:02

  6. 19:03

  7. 18:45

  8. 18:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel