Update 6.3., 10.50 Uhr: Auch der Internet Explorer auf Windows-Rechnern ist unsicher
Desktop-Browser
Ständig treffen neue Informationen zu der FREAK-Sicherheitslücke ein. Nach dem derzeit aktuellen Stand sind die aktuellen Versionen der Desktop-Browser Firefox (von dem kürzlich 36.0.1 erschienen ist) und Chrome (von dem vor kurzem Version 41 erschienen ist) sowie Opera sicher (für Windows, Linux und MacOS X) .
Der Internet Explorer für Windows Vista, 7 und 8 sowie diverse Serverversion ist dagegen unsicher, wie Microsoft jetzt bekannt gab.
Derzeit in jedem Fall – auch in der aktuellen Version – unsicher ist Safari auf MacOS-X-Rechnern. Auf MacOS-X-Rechner scheinen auch ältere Versionen von Chrome und Opera unsicher zu sein.
Mobile-Browser
Bei den mobilen Betriebssystemen stellt sich die Lage im Moment so dar, dass Firefox für Android in den aktuellen Versionen sicher ist. Safari ist in jedem Fall unsicher, ebenso wie der Android-Browser und diverse alternative Browser für Android. Die Chrome-Versionen für Android sind wohl ebenfalls unsicher, ebenso der Blackberry Brower. Der Internet Explorer für Windows Phone sollte auch unsicher sein.
Sie können aber mit dem unten verlinken Test selbst überprüfen, ob Ihre Smartphones, Tablets und Rechner betroffen sind.
Update Ende, Beginn der ursprünglichen Meldung
Sie nutzen Safari auf Ihrem iPhone oder iPad oder auf einem MacOS X-Rechner? Oder den Android-Browser? Dann können Angreifer den darüber geführten SSL/TLS-Datenverkehr mitlesen. Denn Sicherheits-Experten haben eine Lücke in den beiden Browsern entdeckt, die sie FREAK (Factoring Attack on RSA-EXPORT Keys) getauft haben.
https-Verschlüsselung ist unsicher bei Android und Safari
Das Problem betrifft die Verschlüsselung von Inhalten, die über diese Browser übertragen werden (erkennbar in der URL-Zeile an dem „HTTPS“). Genauer gesagt sind das Secure Sockets Layer Protocol und dessen Nachfolger Transport Layer Security betroffen (SSL und TLS), die Daten zwischen den Browsern auf den Client-Rechnern und den Servern verschlüsseln. Anwendungen, die zur Verschlüsselung OpenSSL vor Version 1.0.1k verwenden, sind ebenfalls gefährdet.
Gefährdet sind nach dem derzeitigen Kenntnis Benutzer des Android-Browser und von Safari – also neben iPhone und iPad auch MacOS-Rechner. Windows- und Linux-Systeme sind offensichtlich nicht gefährdet. Wer auf Android-Geräten Chrome oder Firefox verwendet, sollte ebenfalls sicher sein. Die Lücke lässt sich übrigens bei der HTTPS-Kommunikation zwischen Android-Browser/Safari und zirka 37 Prozent aller HTTPS-Webseiten ausnutzen.
Politische Gründe
Die Vereinigten Staaten von Amerika hatten in den frühen 1990er Jahren durch Export-Auflagen erzwungen, dass Software-Hersteller nur einen relativ schwachen 512-Bit-Verschlüsselungsstandard eingebaut haben, der bereits Anfang der 2000er-Jahre leicht zu knacken war. Diese schwächere Verschlüsselung für SSL/TLS wurde in Produkte eingebaut, die ins Ausland geliefert wurden. Als die USA später ihre Gesetzgebung änderten und die Verwendung von stärkeren Verschlüsselungstechniken auch für das Ausland erlaubten, haben die Software-Hersteller diese “Exportvariante” der Verschlüsselung nicht aus den genannten Internet-Protokollen entfernt, weil davon einige Programme abhingen.
Über viele Jahre bemerkte niemand dieses Problem. Bis nun Sicherheits-Experten die HTTPS-Lücke entdeckten und im Detail erklären. Angreifer können sie nämlich über eine Man-in-the-Middle-Attacke ausnutzen (dabei klinkt sich der Angreifer in die Verbindung zwischen Client und Server, ohne dass die Betroffenen etwas davon bemerken) und die eigentlich im Browser voreingestellte zeitgemäße stärkere Verschlüsselungstechnik wie 2048-Bit-RSA sozusagen heimlich „downgraden“ auf diese uralte Exportversion.
Das Problem betrifft nicht nur Geräte, auf denen iOS oder Android läuft. Sondern auch Embedded-Systeme und andere Produkte. Alle Server und Client-Rechner, die RSA_EXPORT-Verschlüsselung akzeptieren sind gefährdet. Administratoren von Websites erhalten hier Informationen dazu, wie sich das Problem lösen können. Wer eine Webseite beziehungsweise einen Server betreibt, sollte die Konfiguration so einstellen, dass das Auswählen einer schwächeren Verschlüsselung unterbunden wird.
So prüfen Sie, ob Sie betroffen sind
Tipp: Indem Sie diesen Webseite https://freakattack.com/ in Ihrem Browser aufrufen, können Sie sofort testen, ob Sie von dem Problem betroffen sind. Erscheint ein Warntext auf rotem Grund (wie auf unserem Android-Smartphone), dann sind Sie gefährdet. Erscheint stattdessen ein Text auf blauem Grund, dann sind Sie sicher (der folgenden Screenshot stammt aus Firefox):
Anwender, die feststellen, dass Sie betroffen sind, sollten auf einen anderen Browser wechseln. Beispielsweise zu Chrome oder Firefox, die von den Problem nicht betroffen sind. Und dann baldmöglichst die Updates aufspielen, sobald Sie von Apple und den Android-Smartphone-Herstellern zur Verfügung gestellt werden.
Apple hat bereits gemeldet, dass es die Lücke durch Updates für iOS und OS X in der nächsten Woche schließen wolle. Google wiederum sagte, dass es einen Patch bereits an seine Hardware-Partner ausgeliefert habe.
Die Lücke entdeckten Karthikeyan Bhargavan von INRIA, einem französischen Forschungs-Institut, und Microsoft Research. Die technischen Hintergründen werden in diesem PDF genau erklärt.
Hinweis 15:20 Uhr : Das PDF scheint mittlerweile offline genommen worden zu sein. Es war unter https://www.smacktls.com/smack.pdf zu finden).
Fünf Zeichen dafür, dass Ihr Android-Handy verseucht ist
Der große Sicherheits-Check für Android
Autor: Hans-Christian Dirscherl, Redakteur
Hans-Christian Dirscherl schreibt seit über 20 Jahren zu fast allen IT-Themen. Sein Fokus liegt auf der Koordination und Produktion von Nachrichten mit hohem Nutzwert sowie auf ausführlichen Tests und Ratgebern für die Bereiche Smart Home, Smart Garden und Automotive.