Abo
  • Services:
Anzeige
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye)

Schwache Verschlüsselung: Tausende Apps könnten von Freak-Schwachstelle betroffen sein

Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung
Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye)

Die durch den Freak-Angriff ausgelöste schwache Verschlüsselung macht auch viele Apps unsicher. Betroffen sind laut ersten Untersuchungen mehrere populäre Anwendungen für Android und iOS.

Anzeige

Vor allem bei Anwendungen, die Passwörter oder Kreditkarteninformationen übermitteln, könnten Angreifer die jüngst entdeckte Freak-Schwachstelle ausnutzen. Einer Untersuchung des IT-Sicherheitsunternehmens Fireeye zufolge sind insgesamt 1.228 aus 10.985 Android-Apps mit mehr als einer Million Downloads sowie 771 aus den 14.079 populärsten Apps für iOS betroffen.

Die Freak-Schwachstelle setzt voraus, dass sowohl die App als auch der Server, mit dem die Anwendung eine verschlüsselte Verbindung aufbaut, den uralten Export-Verschlüsselungsalgorithmen in TLS weiterhin nutzen. Angreifer könnten beispielsweise in öffentlichen WLANs speziell präparierte Pakete an den Server schicken, mit dem sich eine App verbinden will, und so eine Verbindung mit dem schwachen, temporären 512-Bit-RSA-Schlüssel im Export-Modus forcieren.

Kreditkarteninformationen und Zugangsdaten gefährdet

Als Beweis hat Fireeye in seinem Blogpost zwei Screenshots veröffentlicht. Einer zeigt abgegriffene entschlüsselte Zugangsdaten, der andere Kreditkarteninformationen. Statistiken von Fireeye zufolge wurde Anfang März die Freak-Schwachstelle zwar in einigen Apps behoben, die Mehrzahl ist aber weiterhin anfällig für den Angriff. Welche Apps genau betroffen sind, wird jedoch nicht erwähnt.

Inzwischen wurde die Lücke in weiteren Krypto-Bibliotheken geschlossen, darunter in der für iOS 8.2 und früheren Versionen von Apples mobilem Betriebssystem sowie in Openssl und Libressl. Anfällig für den Angriff sind laut der Webseite Smacktls der Browser in Blackberrys Betriebssystem sowie in Androids Standardbrowser. Auch zahlreiche Geräte von Cisco nutzen nach wie vor eine unsichere Version von Openssl.

Überbleibsel aus den Kryptokriegen

Die Export-Verschlüsselungsalgorithmen in TLS sind ein Relikt aus den 90er Jahren. Die USA hatten damals Gesetze, die die Nutzung starker Kryptographie und insbesondere deren Export einschränkten. Die politischen Auseinandersetzungen um derartige Einschränkungen von Verschlüsselungstechnik bezeichnete man auch als Crypto Wars. Mit dem TLS-Vorgänger SSL wurden Algorithmen eingeführt, die absichtlich schwache Schlüssel nutzten.


eye home zur Startseite
Felix_Keyway 23. Mär 2015

Wenn ich das richtig verstanden habe, dann ist auch TLS betroffen, sofern eine schwache...

schurlii 23. Mär 2015

Es sind nicht nur Clients betroffen, serverseitig ist es auch noch lange nicht gelöst und...

AllAgainstAds 23. Mär 2015

wird Sturm ernten. Jetzt zeigt sich, welche Nachteile das Graben einer Grube für...



Anzeige

Stellenmarkt
  1. PROJECT Immobilien GmbH, Nürnberg
  2. Fraunhofer-Institut für Produktionstechnologie IPT, Aachen
  3. Bundesamt für Sicherheit in der Informationstechnik, Bonn
  4. K+S Aktiengesellschaft, Kassel


Anzeige
Blu-ray-Angebote
  1. 49,99€ mit Vorbesteller-Preisgarantie
  2. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen

  2. Gran Turismo Sport im Test

    Puristischer Fahrspaß - fast nur für Onlineraser

  3. Breitbandausbau

    Oettinger bedauert Privatisierung der Telekom

  4. Elektroauto

    Tesla Model S brennt auf österreichischer Autobahn aus

  5. Ubuntu 17.10 im Test

    Unity ist tot, lange lebe Unity!

  6. Asus Rog GL503 und GL703

    Auf 15 und 17 Zoll für vergleichsweise wenig Geld spielen

  7. Swisscom

    Einsatz von NG.fast bringt bis zu 5 GBit/s

  8. Bixby 2.0

    Samsung will Sprachassistenten auf viel mehr Geräte bringen

  9. FAA

    CNN-Drohne darf über Menschen fliegen

  10. Nintendo Switch

    Firmware 4.0 bietet Videoaufnahmen mit Einschränkungen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Re: Statt Subventionen an Telekom zu vergeuden...

    EdwardBlake | 15:24

  2. Manjaro <3

    kleiner | 15:24

  3. Re: Ich als Hobbyfotograf..

    motzerator | 15:23

  4. Grundrecht auf 50/10 Mbit "Garantieren"

    genab.de | 15:23

  5. Re: Bye Bye Lightroom

    Asser | 15:22


  1. 15:12

  2. 15:00

  3. 13:49

  4. 12:25

  5. 12:00

  6. 11:56

  7. 11:38

  8. 10:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel