Abo
  • Services:
Anzeige
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye)

Schwache Verschlüsselung: Tausende Apps könnten von Freak-Schwachstelle betroffen sein

Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye)

Die durch den Freak-Angriff ausgelöste schwache Verschlüsselung macht auch viele Apps unsicher. Betroffen sind laut ersten Untersuchungen mehrere populäre Anwendungen für Android und iOS.

Anzeige

Vor allem bei Anwendungen, die Passwörter oder Kreditkarteninformationen übermitteln, könnten Angreifer die jüngst entdeckte Freak-Schwachstelle ausnutzen. Einer Untersuchung des IT-Sicherheitsunternehmens Fireeye zufolge sind insgesamt 1.228 aus 10.985 Android-Apps mit mehr als einer Million Downloads sowie 771 aus den 14.079 populärsten Apps für iOS betroffen.

Die Freak-Schwachstelle setzt voraus, dass sowohl die App als auch der Server, mit dem die Anwendung eine verschlüsselte Verbindung aufbaut, den uralten Export-Verschlüsselungsalgorithmen in TLS weiterhin nutzen. Angreifer könnten beispielsweise in öffentlichen WLANs speziell präparierte Pakete an den Server schicken, mit dem sich eine App verbinden will, und so eine Verbindung mit dem schwachen, temporären 512-Bit-RSA-Schlüssel im Export-Modus forcieren.

Kreditkarteninformationen und Zugangsdaten gefährdet

Als Beweis hat Fireeye in seinem Blogpost zwei Screenshots veröffentlicht. Einer zeigt abgegriffene entschlüsselte Zugangsdaten, der andere Kreditkarteninformationen. Statistiken von Fireeye zufolge wurde Anfang März die Freak-Schwachstelle zwar in einigen Apps behoben, die Mehrzahl ist aber weiterhin anfällig für den Angriff. Welche Apps genau betroffen sind, wird jedoch nicht erwähnt.

Inzwischen wurde die Lücke in weiteren Krypto-Bibliotheken geschlossen, darunter in der für iOS 8.2 und früheren Versionen von Apples mobilem Betriebssystem sowie in Openssl und Libressl. Anfällig für den Angriff sind laut der Webseite Smacktls der Browser in Blackberrys Betriebssystem sowie in Androids Standardbrowser. Auch zahlreiche Geräte von Cisco nutzen nach wie vor eine unsichere Version von Openssl.

Überbleibsel aus den Kryptokriegen

Die Export-Verschlüsselungsalgorithmen in TLS sind ein Relikt aus den 90er Jahren. Die USA hatten damals Gesetze, die die Nutzung starker Kryptographie und insbesondere deren Export einschränkten. Die politischen Auseinandersetzungen um derartige Einschränkungen von Verschlüsselungstechnik bezeichnete man auch als Crypto Wars. Mit dem TLS-Vorgänger SSL wurden Algorithmen eingeführt, die absichtlich schwache Schlüssel nutzten.


eye home zur Startseite
Felix_Keyway 23. Mär 2015

Wenn ich das richtig verstanden habe, dann ist auch TLS betroffen, sofern eine schwache...

schurlii 23. Mär 2015

Es sind nicht nur Clients betroffen, serverseitig ist es auch noch lange nicht gelöst und...

AllAgainstAds 23. Mär 2015

wird Sturm ernten. Jetzt zeigt sich, welche Nachteile das Graben einer Grube für...



Anzeige

Stellenmarkt
  1. IT-Dienstleistungszentrum Berlin, Berlin
  2. AWO München-Stadt, München-Haidhausen
  3. [bu:st] GmbH, München
  4. dSPACE GmbH, Paderborn


Anzeige
Hardware-Angebote
  1. 308,95€ (Bestpreis)
  2. (täglich neue Deals)
  3. 99,90€ statt 204,80€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Tipps für IT-Engagement in Fernost
  3. Mehr dazu im aktuellen Whitepaper von Bitdefender


  1. Keysniffer

    Millionen kabellose Tastaturen senden Daten im Klartext

  2. Here WeGo

    Here Maps kommt mit neuem Namen und neuen Funktionen

  3. Mesuit

    Chinesischer Hersteller bietet Android-Hülle für iPhones an

  4. Pokémon Go

    Pikachu versus Bundeswehr

  5. Smartphones

    Erste Chips mit 10-nm-Technik sind bei den Herstellern

  6. Nintendo

    Wii U findet kaum noch Käufer

  7. BKA-Statistik

    Darknet und Dunkelfelder helfen Cyberkriminellen

  8. Ticwatch 2

    Android-Wear-kompatible Smartwatch in 10 Minuten finanziert

  9. Hardware und Software

    Facebook legt 360-Grad-Kamera offen

  10. Licht

    Osram verkauft sein LED-Geschäft nach China



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Dirror angeschaut: Der digitale Spiegel, der ein Tablet ist
Dirror angeschaut
Der digitale Spiegel, der ein Tablet ist
  1. Bluetooth 5 Funktechnik sendet mehr Daten auch ohne Verbindungsaufbau
  2. Smarter Schalter Wenn Github mit dem Lichtschalter klingelt
  3. Tony Fadell Nest-Gründer macht keine Omeletts mehr

Axon 7 vs Oneplus Three im Test: 7 ist besser als 1+3
Axon 7 vs Oneplus Three im Test
7 ist besser als 1+3
  1. Axon 7 im Hands on Oneplus bekommt starke Konkurrenz
  2. Axon 7 ZTEs Topsmartphone kommt für 450 Euro nach Deutschland

Pokémon Go im Test: Hype in der Großstadt, Flaute auf dem Land
Pokémon Go im Test
Hype in der Großstadt, Flaute auf dem Land
  1. Nintendo Gewinn steigt durch Pokémon Go kaum an
  2. Pokémon Go Monsterjagd im Heimatland
  3. Pokémon Go Verbraucherschützer reichen Abmahnung gegen Niantic ein

  1. Re: Naive Frage

    yeti | 06:43

  2. Re: Ich sag nur Windows

    serra.avatar | 06:42

  3. Re: Was ist an diesem Thema jetzt NEU?

    serra.avatar | 06:27

  4. Re: Und deshalb werde ich mich nie in ein...

    gadthrawn | 06:23

  5. Re: Akkulaufzeit: Es gibt keine Macbook Air...

    HerrHerger | 06:18


  1. 19:16

  2. 17:37

  3. 16:32

  4. 16:13

  5. 15:54

  6. 15:31

  7. 15:14

  8. 14:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel