[Update 11.03.2015: Offensichtlich sind auch Browser auf Windows-Computern von der Sicherheitlücke betroffen. Ein entsprechender Patch wurde nun von Microsoft bereitsgestellt.]
Laut einem Bericht der Washington Post haben Forscher eine Sicherheitslücke namens FREAK entdeckt, die iOS- und Android-Browser betrifft. Die Schwachstelle ermöglicht potenziellen Angreifern, die vermeintlich sichere Verschlüsselung von einigen Webseiten zu knacken und anschließend auf sensible Daten zuzugreifen. Google und Apple arbeiten bereits an entsprechenden Patches. Die aktuellen Versionen von Firefox, Internet Explorer und Chrome für Desktop-Computer sind offenbar nicht betroffen.
Bei FREAK handelt es sich um eine bereits Jahrzehnte alte Sicherheitslücke, die nach Aussage der Forscher auf die Zeit zurückzuführen sei, in der es in den USA eine besondere Richtlinie bezüglich der Verschlüsselungstechnik bei Export-Gütern gab. So hatte die US-Regierung amerikanischen Firmen verboten, Software mit starker Verschlüsselung ins Ausland zu exportieren. Für das RSA-Kryptosystem waren maximal 512-Bit-Schlüssel erlaubt. Die Einschränkungen wurden Ende der neunziger Jahre aufgehoben, doch die schwache Verschlüsselung findet sich offensichtlich noch immer in zahlreichen Anwendungen.
Die Forscher haben die Sicherheitslücke FREAK genannt – angelehnt an das englische „Factoring RSA Export Keys“. Wie die Washington Post berichtet, ist es ihnen gelungen, Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung zu nutzen. Diese konnte dann innerhalb von wenigen Stunden geknackt werden, sodass die Forscher in der Lage waren, auf persönliche Informationen und Passwörter zuzugreifen. Zudem konnten sie die Kontrolle über bestimmte Elemente auf Webseiten übernehmen, wie z.B. über die Gefällt-mir-Buttons bei Facebook.
Den Forschern zufolge gibt es allerdings keine Hinweise darauf, dass Angreifer die Schwachstelle aktiv ausnutzen. Gegenüber CNET erklärten sowohl Apple als auch Google, an Updates zu arbeiten, um die Sicherheitslücke zu schließen. Apple wird dieses in der kommenden Woche veröffentlichen, während Google der Zeitung mitteilte, dass der Patch Geräteherstellern und Mobilfunkanbietern zur Verfügung gestellt würde. Wann er an die Kunden weitergeleitet wird, ist noch nicht bekannt.
Derweil haben die Forscher die Betreiber der anfälligen Webseiten informiert, um ihnen Zeit zu geben, das Problem zu beheben. Zu den Seiten gehören unter anderem Whitehouse.gov, FBI.gov und, wovon die ersten beiden bereits repariert wurden.
Die Washington Post schreibt, dass das Problem zeige, welche gefährlichen Konsequenzen eine solche Schwächung von Verschlüsselungen für die Sicherheit habe. „Es kann nicht zur gleichen Zeit einen sicheren und einen unsicheren Modus geben… Wir haben gesehen, dass solche Fehler letztlich alle Nutzer betreffen.“, wird Christopher Soghoian, Principal Technologist der American Civil Liberties Union zitiert. Dies dürfte vor allem für einige Politiker wie Thomas de Maizière und David Cameron interessant sein, die sich kürzlich für eine Beschränkung der Verschlüsselung ausgesprochen hatten.
Auf der Webseite https://freakattack.com/ können Nutzer überprüfen, ob ihr Browser für die Schwachstelle anfällig ist. Dort befindet sich zudem eine Liste der betroffenen Domains.