Sicherheitslücke Freak: ein Relikt aus dem Kalten Krieg

Sicherheitsforscher haben eine seit über zehn Jahren vorhandene Schwachstelle in der Verschlüsselung beim Internetsurfen mit dem Safari-Browser von Apple sowie bei Smartphones mit dem Google-System Android entdeckt. Dadurch konnte der Datenverkehr beim Besuch eigentlich abgesicherter Websites entschlüsselt werden. Allerdings sind dafür Fachwissen und technischer Aufwand notwendig. Die Anbieter kündigten an, die Lücke umgehend zu schliessen.

Die Schwachstelle geht auf die Achtziger- und Neunzigerjahre zurück, als es US-Firmen noch verboten war, effiziente Verschlüsselungstechnologien ins Ausland zu verkaufen. Das Verbot wurde Ende der Neunziger aufgehoben, die alte unsichere Verschlüsselung verschwand allerdings nicht komplett. Beim Ansteuern bestimmter Webseiten, darunter amerikanische Regierungsseiten wie etwa das Webangebot der Bundespolizei FBI, konnten die betroffenen Browser dazu bewegt werden, die veraltete Verschlüsselung zu verwenden. Diesen Fehler stellten Experten des französischen Computerforschungsinstituts Inria und von Microsoft fest. Dadurch könnte die Verschlüsselung mithilfe heutiger Computer innerhalb weniger Stunden geknackt werden.

Die Schwachstelle, die unter der Abkürzung «FREAK» (Factoring attack on RSA-EXPORT Keys) geführt wird, wurde Anfang der Woche in Blog-Beträgen von Sicherheitsforschern und des Netzwerkdienstleisters Akamai bekannt. Eine Apple-Sprecherin sagte der «Washington Post», die Lücke solle im Safari-Webbrowser kommende Woche geschlossen werden. Google erklärte der Zeitung, den Herstellern von Android-Geräten sei bereits eine Lösung für das Problem zur Verfügung gestellt worden. Unklar ist noch, wie die Hersteller der Android-Geräte die Updates verteilen werden.

Anwender, die nicht sicher sind, ob sie auch von diesem Fehler betroffen sind, können mit dem SSL-Test der Firma SSL Lab überprüfen, ob der eigene Browser für die Freak-Sicherheitslücke anfällig ist. Wenn auf der Ergebnisseite in der Rubrik «Cipher Suites» Verschlüsselungsverfahren mit «RSA_EXPORT» auftauchen, unterstützt der Browser die schlechten Verschlüsselungsansätze. Forscher der Universität Ann Arbor in Michigan sind durch einen Scan von über 14 Millionenen Webseiten auf 36 Prozent anfällige Seiten gestossen. Primär sind also auch die Webseitenbetreiber gefordert, ihre Webserver auf den neusten Stand zu bringen. Den Forschern zufolge gibt es bislang keine Hinweise dafür, dass Hacker den Fehler schon ausgenutzt haben. Ironischerweise ist sogar NSA.gov anfällig.