Freak: Sicherheits-Leck in Safari und Android

von | 04.03.2015 | Tipps

Google zeigt gerne mit dem Finger auf andere – etwa wenn Google-Entwickler Sicherheitslecks bei anderen Softwareanbietern entdecken. Diesmal hat Google selbst ein Sicherheitsleck zu stopfen – und Apple gleich mit. Gefährdet sind Mobilgeräte mit Android-Betriebssystem, sofern man den Standard-Browser mit der blauen Weltkugel benutzt, und Mac-Rechner, die mit Safari arbeiten. Dabei wäre das Sicherheitsleck eigentlich gar nicht nötig. Doch es ist quasi staatlich gewollt.

Doch der Reihe nach. Ein neunköpfiges Forscherteam hat jetzt ein Sicherheitsleck in Safari und Android entdeckt, das es bereits seit Jahren gibt. Dieses Leck ermöglicht es Angreifern, die Kommunikation eines Internet-Benutzers mit einer Webseite abzuhören, selbst wenn die Verbindung eigentlich verschlüsselt sein sollte. Denn der Browser wählt freiwillig eine denkbar schwache Verschlüsselung, die mit heutigen Methoden vergleichsweise leicht zu knacken ist.

password

Das Leck wurde mit dem hübschen Namen Freak getauft, angelehnt an das englische „Factoring RSA-EXPORT Keys“. Techniker wissen, was damit gemeint ist: Die angreifbaren Browser wählen eine längst überholte Methode der Verschlüsselung mit lediglich 512 Bit, die sich leicht aushebeln lässt. Dabei könnten die Browser eigentlich deutlich mehr. Die reduzierte Verschlüsselung wenden sie nur deshalb an, weil die US-Regierung in den 90er Jahren von Softwarefirmen verlangt hat, die Verschlüsselung einzuschränken, wenn die Software ins Ausland gehen soll.

Updates für die löchrigen Browser gibt es derzeit noch nicht. Man sollte daher einfach auf andere Browser ausweichen, etwa Firefox, Chrome oder Internet Explorer. Die haben das Problem nämlich nicht – und Chrome und Firefox gibt es auch für Mobilgeräte. Das aktuelle Problem zeigt allerdings, welche Folgen es hat, wenn der Staat vorschreibt, welche Form von Verschlüsselung eingesetzt werden soll. Auch Hintertüren für Behörden oder Geheimdienste können von Hackern missbraucht werden.

Das bringt eine aktuelle Diskussion erneut in Gang. Gerade erst haben ranghohe Politiker wie Barack Obama, der britische Premier David Cameron oder Thomas de Maizière gefordert, dass Geheimdienste und Behörden eine Möglichkeit haben müssen, Verschlüsselung zu knacken. Das aktuelle Beispiel zeigt, dass sich das immer rächt.

Schieb App