‚Freak‘ Sicherheitsanfälligkeit erlaubte Hackern, Passwörter und persönliche Daten von iPhone- und Android-Nutzern über Jahrzehnte zu stehlen

iPhones, Androids und Mac enthielten eine Hintertür, weil die USA den Export von Geräten mit starker Verschlüsselung verboten #Freak Vulnerability

Schockierend, aber wahr: Android-, iPhone- und Mac-Nutzer weltweit waren in den letzten 10 Jahren einem Sicherheitsrisiko ausgesetzt, das Hackern ermöglichte, Passwörter und andere persönliche Daten zu stehlen, aufgrund einer US-Politik, die den Export von Geräten mit „starker Verschlüsselung“ außerhalb des Landes verbot.

Forscher, die ihren Bericht über SmackTLS veröffentlicht haben, geben an, dass dieser Fehler seit 10 Jahren besteht und Google Inc. sowie Apple Inc. nun versuchen, diese Sicherheitsanfälligkeit zu beheben.

Eine Gruppe von Kryptographen bei INRIA, Microsoft Research und IMDEA hat einige schwerwiegende Sicherheitsanfälligkeiten in OpenSSL (z. B. Android) Clients und Apple TLS/SSL Clients (z. B. Safari) entdeckt, die es einem „Man-in-the-Middle-Angreifer“ (MiTM) ermöglichen, Verbindungen von „starkem“ RSA auf „Export-Standard“ RSA herabzustufen. Die Forscher sagen, dass dieser Fehler möglich war, weil die US-Regierung nicht wollte, dass verschlüsselte Geräte außerhalb der Vereinigten Staaten exportiert werden.

Jeder Android-, iPhone- oder Mac-Nutzer, der Regierungswebsites wie Whitehouse.gov, NSA.gov und FBI.gov sowie viele andere beliebte Websites weltweit besucht hat, war diesem Fehler ausgesetzt. Die Forscher fanden heraus, dass der Fehler Browser zwang, einen leicht zu brechenden Sicherheitsstandard zu akzeptieren und das Gerät dadurch verwundbar machte. Sobald das Gerät verwundbar war, konnte es innerhalb von Stunden von Cyberkriminellen übernommen werden, so die Forscher.

Um das gesamte Konzept zu erklären, gaben die Forscher an, dass aufgrund von „Export-Standard“ RSA ein Loch in der Sicherheit von Webbrowsern es der Gruppe ermöglichte, Passwörter und persönliche Daten von Einzelpersonen zu stehlen. Es öffnete auch Türen für weitere Ausbeutung durch einen Massenaangriff.

Die Sicherheitsanfälligkeit, die Apples Safari-Webbrowser für iOS und Mac sowie Googles Standard-Webbrowser für Android betrifft, hat keinen Einfluss auf Chrome und Internet Explorer.

Der Fehler, der zuerst von der Washington Post gemeldet wurde, wird von Apple in einem Update nächste Woche im Safari-Webbrowser behoben. Google gab an, dass es bereits einen Patch für Android an seine Smartphone-Hersteller bereitgestellt hat. Das Problem für Android-Nutzer ist jedoch vielfältig, da sie darauf warten müssen, dass ihr Smartphone-Hersteller den Patch herausgibt, und die meisten großen und kleinen Hersteller scheinen kaum daran interessiert zu sein, solche Patches zu veröffentlichen.

Außerdem hat Google gesagt, dass es keine Patches für Android 4.3 Jellybean und ältere Smartphones für die WebView-Komponente bereitstellen wird, die einen wichtigen Teil des Standard-Android-Browsers bildet. Daher werden diese über 1 Milliarde Smartphones verwundbar bleiben, wenn sie im Umlauf sind, da Google keine Updates dafür bereitstellen wird.

Von den Websites wurden FBI.gov und Whitehouse.gov laut Cryptography Engineering behoben, während NSA.gov weiterhin anfällig für solche Sicherheitsanfälligkeiten bleibt.