Phishing: Mathematiker entdeckt zu kurze Schlüssel bei Google

Google und auch andere große Unternehmen nutzen zu kurze DKIM-Schlüssel, entdeckte der Mathematiker Zach Harris. Er schickte eine E-Mail an die beiden Google-Gründer mit der Adresse des jeweils anderen als Absender.

Artikel veröffentlicht am ,
Erhielt eine gefälschte E-Mail: Sergey Brin
Erhielt eine gefälschte E-Mail: Sergey Brin (Bild: Carlo Allegri/Reuters)

Zach Harris erhielt eine E-Mail von Google mit einem Stellenangebot. Das war für ihn zwar nicht interessant, ihm fiel beim Prüfen der Header aber auf, dass Google einen recht kurzen DKIM-Schlüssel verwendet. Damit werden E-Mails signiert, um sicherzustellen, dass sie wirklich von der jeweiligen Domain stammen.

Stellenmarkt
  1. Informatiker/ICT-Techniker (m/w/d)
    Europäische Schule München, Neuperlach
  2. IT-ProzessmanagerIn (m/w/d)
    Helmholtz Zentrum München, Oberschleißheim bei München
Detailsuche

Da Googles Schlüssel aber nur 512 Bit lang war, habe Harris diesen leicht knacken und seinerseits damit E-Mails signieren können, berichtet Wired. Um auf das Problem aufmerksam zu machen, schickte er eine E-Mail an Google-Gründer Larry Page, gab als Absender die E-Mail-Adresse von Google-Gründer Sergey Brin an und umgekehrt.

Eine Antwort erhielt Harris zwar weder von Page noch von Brin, stellte aber fest, dass Google kurz darauf seine DKIM-Schlüssel austauschte. Diese haben nun eine Länge von 2.048 statt 512 Bit. Google bestätigte Wired die Änderung.

Allerdings ist Google nicht das einzige große Unternehmen, das zu kurze DKIM-Schlüssel verwendet, welche eigentlich mindestens 1.024 Bit lang sein sollten. Harris fand auch bei Paypal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com und HSBC zu kurze Schlüssel zwischen 348 und 768 Bit. Yahoo, eBay, Twitter und Amazon würden wie Google Schlüssel mit 512 Bit nutzen, Paypal, LinkedIn, US Bank und HSBC immerhin 768 Bit, so Harris zu Wired. Aber auch 768 Bit hält er für zu kurz, da sich die Schlüssel mit ausreichend Ressourcen knacken lassen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Harris hatte die Unternehmen in den vergangenen Monaten informiert, viele haben daraufhin ihre Schlüssel angepasst. Demnächst will das CERT Coordination Center der Carnegie-Mellon-Universität ein entsprechendes Advisory veröffentlichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
CDU-Sicherheitslücke
Juristische Drohungen schaden der IT-Sicherheit

Dass eine Person, die verantwortungsvoll eine Sicherheitslücke gemeldet hat, dafür juristischen Ärger bekommt, ist fatal und schadet der IT-Sicherheit.
Ein IMHO von Hanno Böck

CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit
Artikel
  1. Kritik der Community: Microsoft schaltet Kommentare unter Windows-11-Video ab
    Kritik der Community
    Microsoft schaltet Kommentare unter Windows-11-Video ab

    In einem Youtube-Video verteidigt Microsoft die Bedingungen von Windows 11. Die Community ist außer sich, Kommentare werden geblockt.

  2. Connect-App: CDU zeigt offenbar Hackerin nach Melden von Lücken an
    Connect-App  
    CDU zeigt offenbar Hackerin nach Melden von Lücken an

    Nach dem Auffinden einer Lücke in einer CDU-App zeigt die Partei nun die Finderin an. Der CCC will deshalb keine Lücken mehr an die CDU melden.

  3. Datenübertragung: Flüssigkernfaser könnte Glasfaser ersetzen
    Datenübertragung
    Flüssigkernfaser könnte Glasfaser ersetzen

    Schweizer Forscher haben eine Faser entwickelt, die Daten genauso gut überträgt wie eine Glasfaser, aber dieser gegenüber Vorteile hat.

skchang 29. Okt 2012

Habe auch eine Anfrage von Google abgelehnt. Bin momentan glücklich in der Forschung...

e-noodle 26. Okt 2012

Never attribute to malice that which is adequately explained by stupidity. - Robert J...

Endwickler 25. Okt 2012

Zum einen können sie durchaus selbst drauf gekommen sein ohne einen Handlungsbedarf zu...

baltasaronmeth 25. Okt 2012

rfc4871:

S-Talker 25. Okt 2012

Wenn ich eine Mail Erhalte von einer Person/einem Unternehmen erhalte, mit dem ich...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • Robas Lund DX Racer Gaming-Stuhl 153,11€ • HyperX Cloud II Gaming-Headset 59€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 60 Jahre Saturn-Aktion [Werbung]
    •  /