Abo
  • Services:
Anzeige
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye)

Schwache Verschlüsselung: Tausende Apps könnten von Freak-Schwachstelle betroffen sein

Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye)

Die durch den Freak-Angriff ausgelöste schwache Verschlüsselung macht auch viele Apps unsicher. Betroffen sind laut ersten Untersuchungen mehrere populäre Anwendungen für Android und iOS.

Anzeige

Vor allem bei Anwendungen, die Passwörter oder Kreditkarteninformationen übermitteln, könnten Angreifer die jüngst entdeckte Freak-Schwachstelle ausnutzen. Einer Untersuchung des IT-Sicherheitsunternehmens Fireeye zufolge sind insgesamt 1.228 aus 10.985 Android-Apps mit mehr als einer Million Downloads sowie 771 aus den 14.079 populärsten Apps für iOS betroffen.

Die Freak-Schwachstelle setzt voraus, dass sowohl die App als auch der Server, mit dem die Anwendung eine verschlüsselte Verbindung aufbaut, den uralten Export-Verschlüsselungsalgorithmen in TLS weiterhin nutzen. Angreifer könnten beispielsweise in öffentlichen WLANs speziell präparierte Pakete an den Server schicken, mit dem sich eine App verbinden will, und so eine Verbindung mit dem schwachen, temporären 512-Bit-RSA-Schlüssel im Export-Modus forcieren.

Kreditkarteninformationen und Zugangsdaten gefährdet

Als Beweis hat Fireeye in seinem Blogpost zwei Screenshots veröffentlicht. Einer zeigt abgegriffene entschlüsselte Zugangsdaten, der andere Kreditkarteninformationen. Statistiken von Fireeye zufolge wurde Anfang März die Freak-Schwachstelle zwar in einigen Apps behoben, die Mehrzahl ist aber weiterhin anfällig für den Angriff. Welche Apps genau betroffen sind, wird jedoch nicht erwähnt.

Inzwischen wurde die Lücke in weiteren Krypto-Bibliotheken geschlossen, darunter in der für iOS 8.2 und früheren Versionen von Apples mobilem Betriebssystem sowie in Openssl und Libressl. Anfällig für den Angriff sind laut der Webseite Smacktls der Browser in Blackberrys Betriebssystem sowie in Androids Standardbrowser. Auch zahlreiche Geräte von Cisco nutzen nach wie vor eine unsichere Version von Openssl.

Überbleibsel aus den Kryptokriegen

Die Export-Verschlüsselungsalgorithmen in TLS sind ein Relikt aus den 90er Jahren. Die USA hatten damals Gesetze, die die Nutzung starker Kryptographie und insbesondere deren Export einschränkten. Die politischen Auseinandersetzungen um derartige Einschränkungen von Verschlüsselungstechnik bezeichnete man auch als Crypto Wars. Mit dem TLS-Vorgänger SSL wurden Algorithmen eingeführt, die absichtlich schwache Schlüssel nutzten.


eye home zur Startseite
Felix_Keyway 23. Mär 2015

Wenn ich das richtig verstanden habe, dann ist auch TLS betroffen, sofern eine schwache...

schurlii 23. Mär 2015

Es sind nicht nur Clients betroffen, serverseitig ist es auch noch lange nicht gelöst und...

AllAgainstAds 23. Mär 2015

wird Sturm ernten. Jetzt zeigt sich, welche Nachteile das Graben einer Grube für...



Anzeige

Stellenmarkt
  1. ROHDE & SCHWARZ GmbH & Co. KG, München
  2. PHOENIX CONTACT GmbH & Co. KG, Blomberg
  3. operational services GmbH & Co. KG, Wolfsburg, Braunschweig
  4. ORDIX AG, Paderborn, Wiesbaden und Köln


Anzeige
Top-Angebote
  1. (u. a. Ryzen 5 1600X 219,90€, HTC Vive 799,00€, Crucial 525-GB-SSD 124,90€, Be quiet Pure...
  2. 79,90€ statt 124,90€
  3. (u. a. 2 Guns, Bad Boys 2, Captain Phillips, Chappie, Christine)

Folgen Sie uns
       


  1. Sonic the Hedgehog

    Sega veröffentlicht seine Spieleklassiker für Smartphones

  2. Monster Hunter World angespielt

    Dicke Dinosauriertränen in 4K

  3. Prime Reading

    Amazon startet dritte Lese-Flatrate in Deutschland

  4. Node.js

    Hälfte der NPM-Pakete durch schwache Passwörter verwundbar

  5. E-Mail

    Private Mails von Topmanagern Ziel von Phishing-Kampagne

  6. OLED

    LG entwickelt aufrollbares transparentes 77-Zoll-Display

  7. Vorratsdatenspeicherung

    Bundesnetzagentur prüft Auswirkung der OVG-Entscheidung

  8. Elektronikkonzern

    Toshiba kann Geschäftsbericht nicht vorlegen

  9. Störerhaftung

    SPD warnt vor Scheitern des WLAN-Gesetzes

  10. Ubisoft

    Michel Ancel zeigt Beyond Good and Evil 2



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Risk: Kein normaler Mensch
Risk
Kein normaler Mensch

WD Black SSD im Test: Mehr Blau als Schwarz
WD Black SSD im Test
Mehr Blau als Schwarz
  1. NAND-Flash Toshiba legt sich beim Verkauf des Flashspeicher-Fab fest
  2. SSD WD Blue 3D ist sparsamer und kommt mit 2 TByte
  3. Western Digital Mini-SSD in externem Gehäuse schafft 512 MByte pro Sekunde

Amateur-Hörspiele: Drei Fragezeichen, TKKG - und jetzt komm' ich!
Amateur-Hörspiele
Drei Fragezeichen, TKKG - und jetzt komm' ich!
  1. Internet Lädt noch
  2. NetzDG EU-Kommission will Hate-Speech-Gesetz nicht stoppen
  3. Equal Rating Innovation Challenge Mozilla will indische Dörfer ins Netz holen

  1. Mit 10.14 sind KEXT tot

    /mecki78 | 12:04

  2. Re: Windows 10S wirkt

    TheUnichi | 12:02

  3. Neues GTA = neue Konsole

    genussge | 11:57

  4. Mich beeindruckt das nicht.

    Unix_Linux | 11:57

  5. Re: Gegenangriff.

    chefin | 11:54


  1. 12:04

  2. 12:01

  3. 11:59

  4. 11:44

  5. 11:30

  6. 11:15

  7. 10:56

  8. 10:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel