- Registriert
- 28.10.12
- Beiträge
- 2.300
Ein Sicherheitslücke erlaubt den Angriff von HTTPS-Verbindungen, welche per SSL/TLS verschlüsselt sind. Die von Sicherheitsforschern im Rahmen des State Machine Attack-Projekts entdeckte Lücke wurde auf den Namen FREAK-Attack getauft und knackt dabei als Man-In-The-Middle-Angriff die gesicherte Verbindung. Die Daten können sowohl gelesen als auch manipuliert werden.[prbreak][/prbreak]
Bild: Wikimedia, bestimmte Rechte vorbehalten
Betroffen sind vor allem Mac-Rechner sowie iOS- und Android-Geräte, da diese auf eine ungepatchte Version von OpenSSL setzen. Ein Angriff ist möglich, falls die Webseite eine Verbindung mit absichtlich geschwächten Export-Verschlüsselungsalgorithmen zulässt und auch der Client diese noch akzeptiert. Aufgrund fehlerhafter Implementierungen kann man einen Browser durch einen Man-In-The-Middle austricksen und zum Export schwacher 512-Bit-Schlüssel bewegen. Diese können innerhalb weniger Stunden geknackt werden, der Netzwerkverkehr also relativ leicht entschlüsselt werden.
Diese schwachen Export-Algorithmen stammen noch aus den 90er Jahren und gehen auf ein US-Gesetz zurück, welches die Nutzung und Verbreitung von starken Kryptoverfahren eindämmen sollte, indem diese als Kriegswaffen klassifiziert wurden. Auch wenn diese Vorschrift schon lange nicht mehr existiert, sind die unsicheren Algorithmen weiterhin in einigen Programmen vorhanden.
OpenSSL vor Version 1.0.1k ist ebenso angreifbar wie der Standard-Browser unter Android. Besitzt man ein Android-Gerät soll man stattdessen auf Chrome in der Version 41 zurückgreifen. Apple hat bereits einen Patch in Aussicht gestellt, an diesem wird bereits gearbeitet.
via State Machine Attack
Bild: Wikimedia, bestimmte Rechte vorbehalten
Betroffen sind vor allem Mac-Rechner sowie iOS- und Android-Geräte, da diese auf eine ungepatchte Version von OpenSSL setzen. Ein Angriff ist möglich, falls die Webseite eine Verbindung mit absichtlich geschwächten Export-Verschlüsselungsalgorithmen zulässt und auch der Client diese noch akzeptiert. Aufgrund fehlerhafter Implementierungen kann man einen Browser durch einen Man-In-The-Middle austricksen und zum Export schwacher 512-Bit-Schlüssel bewegen. Diese können innerhalb weniger Stunden geknackt werden, der Netzwerkverkehr also relativ leicht entschlüsselt werden.
Diese schwachen Export-Algorithmen stammen noch aus den 90er Jahren und gehen auf ein US-Gesetz zurück, welches die Nutzung und Verbreitung von starken Kryptoverfahren eindämmen sollte, indem diese als Kriegswaffen klassifiziert wurden. Auch wenn diese Vorschrift schon lange nicht mehr existiert, sind die unsicheren Algorithmen weiterhin in einigen Programmen vorhanden.
OpenSSL vor Version 1.0.1k ist ebenso angreifbar wie der Standard-Browser unter Android. Besitzt man ein Android-Gerät soll man stattdessen auf Chrome in der Version 41 zurückgreifen. Apple hat bereits einen Patch in Aussicht gestellt, an diesem wird bereits gearbeitet.
via State Machine Attack