FREAK: Sicherheitslücke in OS X und iOS durch schwache Verschlüsselung

Holger Eilhard 6

Ein Verbot der US-Regierung, welche den Export starker Verschlüsselungstechnologien verboten hatte und Ende der 90er Jahre aufgehoben wurde, sorgt derzeit für aufsehen. Die dadurch notwendige schwache Verschlüsselung hat bis heute in aktueller Software überlebt.

FREAK: Sicherheitslücke in OS X und iOS durch schwache Verschlüsselung

Wie die Washington Post (via MacRumors) berichtet, arbeiten die Technik-Unternehmen bereits seit einiger Zeit daran, die Server-Seite des Problems in den Griff zu bekommen. Die Sicherheitsexperten gaben dieser Lücke den Namen „FREAK“ (Abkürzung für „Factoring Attack on RSA-EXPORT Keys“).

Der Ursprung der Sicherheitslücke liegt in einem alten Export-Verbot der US-Regierung. Dieses untersagte es Unternehmen Software mit starker Verschlüsselung außerhalb der USA anzubieten. Zwar wurde dieses Verbot Ende der 90er Jahre aufgehoben, die Software, die hierdurch jedoch mit schwacher 512-Bit-Verschlüsselung veröffentlicht wurde, existiert bis heute und fand auch ihren Weg zurück in die USA.

Nadia Heninger, Kryptographie-Expertin der University of Pennsylvania bezeichnete die Lücke als „Zombie aus den 90ern“. Heninger war in der Lage den Schlüssel innerhalb von 7 Stunden zu berechnen. Damit kann dann eine sichere Verbindung ausgehebelt werden.

Bei Tests der University of Michigan waren mehr als ein Viertel der getesteten Seiten für das Problem anfällig, darunter auch FBI.gov, Whitehouse.gov und NSA.gov. Während die ersten beiden mittlerweile abgesichert wurden, ist letztere weiterhin verwundbar.

Ungewünschte Aufmerksamkeit bekam die Sicherheitslücke durch einen Blog-Beitrag von Akamai. Sicherheitsexperten hatten sowohl Regierungen als auch Unternehmen in den vergangenen Wochen über das Problem informiert und gehofft, die Lücken schließen zu können bevor die Öffentlichkeit und potentielle Angreifer davon erfahren.

Apple will laut der Unternehmens-Sprecherin Trudy Miller in der kommenden Woche ein Update für OS X und iOS bereitstellen. Ob dies in Form von iOS 8.1.4 oder gleich dem Update auf iOS 8.2 geschieht ist unklar. Gerüchte aus der vergangenen Woche lassen jedoch vermuten, dass Apple gleich iOS 8.2 veröffentlichen wird; möglicherweise im Rahmen des „Spring Forward“-Events am kommenden Montag.

Betroffen ist auch Googles Android-Browser, nicht aber Chrome. Wann das Unternehmen ein Update für seine Software veröffentlichen wird, ist derzeit nicht bekannt.

Weitere Informationen zur FREAK-Sicherheitslücke gibt es auf freakattack.com.

Zu den Kommentaren

Kommentare zu dieser News

Weitere Themen

* gesponsorter Link