Abo
  • Services:
Anzeige
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye)

Schwache Verschlüsselung: Tausende Apps könnten von Freak-Schwachstelle betroffen sein

Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye)

Die durch den Freak-Angriff ausgelöste schwache Verschlüsselung macht auch viele Apps unsicher. Betroffen sind laut ersten Untersuchungen mehrere populäre Anwendungen für Android und iOS.

Anzeige

Vor allem bei Anwendungen, die Passwörter oder Kreditkarteninformationen übermitteln, könnten Angreifer die jüngst entdeckte Freak-Schwachstelle ausnutzen. Einer Untersuchung des IT-Sicherheitsunternehmens Fireeye zufolge sind insgesamt 1.228 aus 10.985 Android-Apps mit mehr als einer Million Downloads sowie 771 aus den 14.079 populärsten Apps für iOS betroffen.

Die Freak-Schwachstelle setzt voraus, dass sowohl die App als auch der Server, mit dem die Anwendung eine verschlüsselte Verbindung aufbaut, den uralten Export-Verschlüsselungsalgorithmen in TLS weiterhin nutzen. Angreifer könnten beispielsweise in öffentlichen WLANs speziell präparierte Pakete an den Server schicken, mit dem sich eine App verbinden will, und so eine Verbindung mit dem schwachen, temporären 512-Bit-RSA-Schlüssel im Export-Modus forcieren.

Kreditkarteninformationen und Zugangsdaten gefährdet

Als Beweis hat Fireeye in seinem Blogpost zwei Screenshots veröffentlicht. Einer zeigt abgegriffene entschlüsselte Zugangsdaten, der andere Kreditkarteninformationen. Statistiken von Fireeye zufolge wurde Anfang März die Freak-Schwachstelle zwar in einigen Apps behoben, die Mehrzahl ist aber weiterhin anfällig für den Angriff. Welche Apps genau betroffen sind, wird jedoch nicht erwähnt.

Inzwischen wurde die Lücke in weiteren Krypto-Bibliotheken geschlossen, darunter in der für iOS 8.2 und früheren Versionen von Apples mobilem Betriebssystem sowie in Openssl und Libressl. Anfällig für den Angriff sind laut der Webseite Smacktls der Browser in Blackberrys Betriebssystem sowie in Androids Standardbrowser. Auch zahlreiche Geräte von Cisco nutzen nach wie vor eine unsichere Version von Openssl.

Überbleibsel aus den Kryptokriegen

Die Export-Verschlüsselungsalgorithmen in TLS sind ein Relikt aus den 90er Jahren. Die USA hatten damals Gesetze, die die Nutzung starker Kryptographie und insbesondere deren Export einschränkten. Die politischen Auseinandersetzungen um derartige Einschränkungen von Verschlüsselungstechnik bezeichnete man auch als Crypto Wars. Mit dem TLS-Vorgänger SSL wurden Algorithmen eingeführt, die absichtlich schwache Schlüssel nutzten.


eye home zur Startseite
Felix_Keyway 23. Mär 2015

Wenn ich das richtig verstanden habe, dann ist auch TLS betroffen, sofern eine schwache...

schurlii 23. Mär 2015

Es sind nicht nur Clients betroffen, serverseitig ist es auch noch lange nicht gelöst und...

AllAgainstAds 23. Mär 2015

wird Sturm ernten. Jetzt zeigt sich, welche Nachteile das Graben einer Grube für...



Anzeige

Stellenmarkt
  1. Unfallkasse Baden-Württemberg, Karlsruhe, Stuttgart
  2. mateco GmbH, Stuttgart
  3. ESG Elektroniksystem- und Logistik-GmbH, München
  4. BERLIN-CHEMIE AG, Berlin


Anzeige
Top-Angebote
  1. 13,49€
  2. (-10%) 53,99€
  3. 109,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Trotz Protesten

    Bundestag erlaubt großflächigen Einsatz von Staatstrojanern

  2. Zahlungsabwickler

    Start-Up Stripe kommt nach Deutschland

  3. Kaspersky

    Microsoft reagiert auf Antivirus-Kartellbeschwerde

  4. EA Sports

    NHL 18 soll Hockey der jungen Spielergeneration bieten

  5. Eviation

    Alice fliegt elektrisch

  6. Staatstrojaner

    Dein trojanischer Freund und Helfer

  7. OVG NRW

    Gericht stoppt Vorratsdatenspeicherung

  8. Amazon Echo

    Erinnerungsfunktion noch nicht für alle Alexa-Geräte

  9. PowerVR

    Imagination Technologies steht zum Verkauf

  10. Internet der Dinge

    Samsungs T200 ist erster Exynos für IoT



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mieten bei Ottonow und Media Markt: Miet mich!
Mieten bei Ottonow und Media Markt
Miet mich!
  1. Whole Foods Market Amazon kauft Bio-Supermarktkette für 13,7 Milliarden Dollar
  2. Kartengebühren Transaktionen in Messages können teuer werden
  3. Übernahmen Extreme Networks will eine Branchengröße werden

Qubits teleportieren: So funktioniert Quantenkommunikation per Satellit
Qubits teleportieren
So funktioniert Quantenkommunikation per Satellit
  1. Quantenprogrammierung "Die physikalische Welt kann kreativer sein als wir selbst"
  2. Quantenoptik Vom Batman-Fan zum Quantenphysiker
  3. Ionencomputer Wissenschaftler müssen dumme Dinge sagen dürfen

Skull & Bones angespielt: Frischer Wind für die Segel
Skull & Bones angespielt
Frischer Wind für die Segel
  1. Forza Motorsport 7 Dynamische Wolken und wackelnde Rückspiegel
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen

  1. Re: Kreative...

    t3st3rst3st | 20:13

  2. Re: So langsam wird es was werden mit den...

    bombinho | 20:12

  3. Re: Benchmarks auf iOS nicht wirklich aussagekräftig.

    Lumumba | 20:12

  4. Der Tag an dem die Freiheit starb

    theonlyone | 20:10

  5. Re: Was ich nicht ändern kann, will ich nicht wissen

    flow77 | 20:08


  1. 19:16

  2. 18:35

  3. 18:01

  4. 15:51

  5. 15:35

  6. 15:00

  7. 14:28

  8. 13:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel