Abo
  • Services:
Anzeige
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye)

Schwache Verschlüsselung: Tausende Apps könnten von Freak-Schwachstelle betroffen sein

Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye)

Die durch den Freak-Angriff ausgelöste schwache Verschlüsselung macht auch viele Apps unsicher. Betroffen sind laut ersten Untersuchungen mehrere populäre Anwendungen für Android und iOS.

Anzeige

Vor allem bei Anwendungen, die Passwörter oder Kreditkarteninformationen übermitteln, könnten Angreifer die jüngst entdeckte Freak-Schwachstelle ausnutzen. Einer Untersuchung des IT-Sicherheitsunternehmens Fireeye zufolge sind insgesamt 1.228 aus 10.985 Android-Apps mit mehr als einer Million Downloads sowie 771 aus den 14.079 populärsten Apps für iOS betroffen.

Die Freak-Schwachstelle setzt voraus, dass sowohl die App als auch der Server, mit dem die Anwendung eine verschlüsselte Verbindung aufbaut, den uralten Export-Verschlüsselungsalgorithmen in TLS weiterhin nutzen. Angreifer könnten beispielsweise in öffentlichen WLANs speziell präparierte Pakete an den Server schicken, mit dem sich eine App verbinden will, und so eine Verbindung mit dem schwachen, temporären 512-Bit-RSA-Schlüssel im Export-Modus forcieren.

Kreditkarteninformationen und Zugangsdaten gefährdet

Als Beweis hat Fireeye in seinem Blogpost zwei Screenshots veröffentlicht. Einer zeigt abgegriffene entschlüsselte Zugangsdaten, der andere Kreditkarteninformationen. Statistiken von Fireeye zufolge wurde Anfang März die Freak-Schwachstelle zwar in einigen Apps behoben, die Mehrzahl ist aber weiterhin anfällig für den Angriff. Welche Apps genau betroffen sind, wird jedoch nicht erwähnt.

Inzwischen wurde die Lücke in weiteren Krypto-Bibliotheken geschlossen, darunter in der für iOS 8.2 und früheren Versionen von Apples mobilem Betriebssystem sowie in Openssl und Libressl. Anfällig für den Angriff sind laut der Webseite Smacktls der Browser in Blackberrys Betriebssystem sowie in Androids Standardbrowser. Auch zahlreiche Geräte von Cisco nutzen nach wie vor eine unsichere Version von Openssl.

Überbleibsel aus den Kryptokriegen

Die Export-Verschlüsselungsalgorithmen in TLS sind ein Relikt aus den 90er Jahren. Die USA hatten damals Gesetze, die die Nutzung starker Kryptographie und insbesondere deren Export einschränkten. Die politischen Auseinandersetzungen um derartige Einschränkungen von Verschlüsselungstechnik bezeichnete man auch als Crypto Wars. Mit dem TLS-Vorgänger SSL wurden Algorithmen eingeführt, die absichtlich schwache Schlüssel nutzten.

eye home zur Startseite
Kommentarübersicht
Re: Der letzte Satz...
Felix_Keyway 23. Mär 2015

Wenn ich das richtig verstanden habe, dann ist auch TLS betroffen, sofern eine schwache...

Server auch noch betroffen
schurlii 23. Mär 2015

Es sind nicht nur Clients betroffen, serverseitig ist es auch noch lange nicht gelöst und...

Wer Wind sät  
AllAgainstAds 23. Mär 2015

wird Sturm ernten. Jetzt zeigt sich, welche Nachteile das Graben einer Grube für...

Anzeige
Stellenmarkt
  1. Continental AG, Eschborn, Regensburg
  2. SEITENBAU GmbH, Konstanz
  3. operational services GmbH & Co. KG, Sindelfingen
  4. T-Systems International GmbH, verschiedene Einsatzorte
Anzeige
Top-Angebote
  1. (u. a. Samsung 960 Evo 500 GB 229,90€, Evo 1 TB 429,00€)
  2. (u. a. AOC AG271QG LED-Monitor 599,00€, Asus ROG Swift PG348Q 999,00€)
  3. (u. a. Cooler Master 500W 34,99€, 600W 44,99€, Sharkoon TG5 59,90€)
Folgen Sie uns
       
Videos
The Patent Scam - Trailer The Patent Scam - Trailer
Ticker
  1. Umweltbundesamt

    Software-Updates für Diesel reichen nicht

  2. Acer Nitro 5 Spin

    Auf dem Gaming-Convertible spielen und zeichnen

  3. Galaxy Note 8 im Hands on

    Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  4. Microsoft

    Git-Umzug von Windows-Team abgeschlossen

  5. Play Store

    Google entfernt 500 Android-Apps mit 100 Millionen Downloads

  6. DreamHost

    US-Regierung will nun doch keine Daten von Trump-Gegnern

  7. Project Brainwave

    Microsoft beschleunigt KI-Technik mit Cloud-FPGAs

  8. Microsoft

    Im Windows Store gibt es viele illegale Streaming-Apps

  9. Alpha-One

    Lamborghini-Smartphone für über 2.000 Euro vorgestellt

  10. Wireless-AC 9560

    Intel packt WLAN in den Prozessor

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Fujitsu
Fujitsu Lifebook U937 im Test: 976 Gramm reichen für das fast perfekte Notebook
Fujitsu Lifebook U937 im Test
976 Gramm reichen für das fast perfekte Notebook
  1. DLU Fujitsu entwickelt Deep-Learning-Chips
Game of Thrones
Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"
Verkehr
Schifffahrt: Yara Birkeland wird der erste autonome E-Frachter
Schifffahrt
Yara Birkeland wird der erste autonome E-Frachter
  1. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  2. Honolulu Strafe für Handynutzung auf der Straße
  3. Yara Birkeland Autonomes Containerschiff soll elektrisch fahren
Forumsbeiträge »
  1. Elektroroller Einstieg in die Elektromobilität ab 2.000 Euro

    Re: Warum 45 km/h mit Führerschein

    mrgenie | 05:05

  2. Logitech Powerplay im Test Die niemals leere Funk-Maus

    Re: alte Lasermaus

    Shik3i | 04:49

  3. Leihfahrzeuge 200 Bosch-Elektroroller fahren durch Berlin

    Und es ist eher unattraktiv

    watwerbisdudenn | 04:32

  4. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

    Re: Sind 1000 Euro nicht zu teuer?

    mcmrc1 | 03:38

  5. Logitech Powerplay im Test Die niemals leere Funk-Maus

    Re: Nur für Rechtshänder?

    quasides | 03:01

Ticker »
  1. Umweltbundesamt Software-Updates für Diesel reichen nicht

    17:51

  2. Acer Nitro 5 Spin Auf dem Gaming-Convertible spielen und zeichnen

    17:08

  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

    17:00

  4. Microsoft Git-Umzug von Windows-Team abgeschlossen

    16:55

  5. Play Store Google entfernt 500 Android-Apps mit 100 Millionen Downloads

    16:38

  6. DreamHost US-Regierung will nun doch keine Daten von Trump-Gegnern

    16:08

  7. Project Brainwave Microsoft beschleunigt KI-Technik mit Cloud-FPGAs

    15:54

  8. Microsoft Im Windows Store gibt es viele illegale Streaming-Apps

    14:51

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel