Freak: Neue Sicherheitslücke im Chrome Browser von Android
Das aktuelle Software mitunter enorme Altlasten aus vergangenen Zeiten mit sich herum trägt, zeigt die erst vor kurzem aufgedeckte Lücke namens Freak. Das gefährliche dabei ist, dass es sich mit der richtigen Technik und dem nötigen Knowhow nicht nur um einen theoretischen Angriff handelt: Die Gefahr ist real.
Um die Kommunikation im Internet so sicher wie möglich zu machen, kommt bei dem Großteil aller Websites das TLS-Protokoll zur Verschlüsselung der Verbindung zum Einsatz. Dieses wird von nahezu jedem halbwegs modernen Browser auf einer Vielzahl von Plattformen unterstützt und gilt eigentlich als sehr sicher. Allerdings haben französische Sicherheitsforscher eine schwere Sicherheitslücke namens Freak (Factoring Attack on RSA-EXPORT Keys) entdeckt, welche noch aus den starken Kryptoregulierungen der USA von 1990 stammt.
Mit Freak ist nicht zu spaßen
Von der TSL-Lücke sind nach aktuellen Meldungen die Browser von Android (Chrome), Apple (iOS und Mac OS X) sowie Blackberry (Blackberry OS 10) betroffen. Der Knackpunkt bei der Lücke in der TLS-Verschlüsselung namens Freak ist, dass ein Angreifer mit einem unsicheren 512-Bit langen Schlüssel sich in die Verbindung einklinken und diese knacken kann. Zwar braucht man dazu einerseits das Wissen für die Technologie hinter TLS selbst und etwas Zeit.
Die Forscher des französischen Forschungsinstituts Inria haben einen Angriff erfolgreich innerhalb von 7 Stunden durchführen können. Die Webserver müssen dabei allerdings anfällig sein für sogenannte Export-Verschlüsselungsalgorithmen, damit der Angriff auf die Freak-Lücke von TLS überhaupt Wirkung zeigt. Die Sicherheitslücke selbst ist übrigens ein Relikt aus den Crypto Wars der 1990er Jahre. Damals mussten US-Unternehmen ihre Software absichtlich deutlich abschwächen bei der Sicherheit, wenn sie diese ins Ausland exportieren wollten.
Viel zu leichter Angriff
Die TLS-Schwachstelle an sich ist nicht das eigentliche Problem, denn ein Angreifer müsste den 512-Bit RSA-Schlüssel innerhalb weniger Sekunden knacken, um eine Verbindung mit Hilfe der Freak-Schwachstelle kompromittieren zu können. Das Problematische an der Sache ist, dass etliche Server-Programme wie Apache genau diesen Schlüssel +über die gesamte Server-Laufzeit hinweg zwischenspeichern, anstatt ihn live zu generieren. Was der ansonsten erschreckenden Sache etwas Witziges abgewinnt: Auch die Website der NSA ist von der Freak-Sache betroffen.
Apple und Google haben mittlerweile angekündigt, die Freak Sicherheitslücke umgehend schließen zu wollen. Während Apple dies mit einem kleinen Update erledigen kann, stellt Google den benötigten Bugfix lediglich seinen OEM-Partnern zur Verfügung. Diese dürfen sich demnach selbst mit der Implementation befassen und zeigt einmal mehr, was die größte Schwachstelle von Android an sich ist: Ein Update zum Schließen der Freak-Sicherheitslücke werden nur die wenigsten Android Smartphones erhalten.
Ob die eigenen Geräte und Browser von der Lücke betroffen sind, kann man auf dieser Website ganz einfach selbst testen.
