Achtung Schutz vor Freak Attack: Diese Browser sind betroffen
Achtung Schutz vor Freak Attack: Diese Browser sind betroffen
Der Freak-Angriff kompromittiert unzählige verschlusselte Webseiten und Angreifer konnten sensible Daten ausspionieren. Ob man fur die Attacke anfällig ist, hängt aber vom eingesetzten Betriebssystem, Webbrowser und der besuchten Internetseite ab.
Das Angriffsszenario Freak (Factoring Attack on RSA-EXPORT Keys) erlaubt es, mit SSL/TLS geschutzten Datenverkehr zu entschlusseln. Angreifer konnten so etwa die Kommunikation zwischen Nutzer und besuchter Webseite mitschneiden und im schlimmsten Fall sensible Daten mitlesen.
Ein erfolgreicher Angriff setzt immer eine bestimmte Kombination aus Betriebssystem und Webbrowser voraus. Denn diese Kombination bestimmt, ob das System des Nutzers dazu gebraucht werden kann, schwache Krypto-Schlussel zu akzeptieren. Ob man vom Freak Attack betroffen ist, zeigt ein Test auf.
Derzeit gibt es keine Anzeichen, dass Linux-Nutzer fur die Attacke anfällig sind. Apple will nächste Woche Updates fur iOS und OS X anbieten. Google verteilt angeblich bereits Patches an Partner und hält betroffene Webseiten-Betreiber dazu an, die schwachen Export-Cipher zu deaktivieren.
Auswahl betroffener Browser (aktuelle Version):
Android-Browser (zu erkennen an der blauen Weltkugel)
Safari (iOS, OS X, Windows)
Chrome (Standard-Browser ab Android 4.4)
Auswahl nicht betroffener Browser (aktuelle Version):
Chrome (iOS, Linux, OS X, Windows)
Internet Explorer 11
Firefox (Android, Linux, OS X, Windows)
Damit potentielle Angreifer den Bug der betroffenen Browser ausnutzen konnen, dass sie unsichere Schlussel annehmen, muss der Nutzer eine Webseite besuchen, die die schwachen Export-Cipher anbietet. Forscher der Universität Michigan haben Anfang dieser Woche eine Liste mit entsprechenden Internetseiten zusammengestellt.
Wer eine betroffene Kombination bestehend aus Betriebssystem und Webbrowser einsetzt und auf Nummer sicher gegen will, kann eine Webseite vor dem Besuch testen. Wenn im Ergebnis in den Cipher Suites also Verfahren mit RSA_EXPORT auftauchen, ist der Server vom moglichen Ruckfall auf unsichere 512-Bit-Schlussel betroffen.
Ruhe bewahren
Selbst wenn alle fur einen erfolgreichen Angriff notigen Punkte erfullt sind, braucht man nicht in Panik zu verfallen. Denn bei dem moglichen Man-in-the-Middle-Angriff muss es sich um eine gezielte Attacke handeln: Zuhause musste sich ein potentieller Angreifer erst Zugang zum Router der Zielperson verschaffen. In einem offentlichen Netzwerk, etwa in einem Café, kann der Freak Attack aber durchaus gefährlich sein. Auch Geheimdienste konnten ihn unter Umständen nutzen, um massenweise Traffic abzugreifen und zu entschlusseln.
Aktuell ist nicht bekannt, dass der Freak Attack aktiv in Gebrauch ist. Ivan Ristic von den SSL Labs bei Qualys sagte auf Anfrage von heise Security, der Angriff sei zwar theoretisch einfach auszufuhren. In der Realität sind aber so viele Variablen involviert, dass sich ein Angriff auf beliebige Nutzer als schwierig darstellt.
[UPDATE 05.03.2015, 18:15]
Der Freak-Attack-Test wurde mittlerweile von den Sicherheitsforschern aktualisiert und es scheinen doch mehr Webbrowser betroffen zu sein. Zudem sind nun wohl auch Linux-Nutzer vor dem Angriff nicht sicher. Heise Security hat sich bei den Sicherheitsforschern zu den Hintergrunden der Änderungen der Test-Kriterien erkundigt. Eine Antwort steht noch aus.
Nach aktuellem Stand des Tests sehen die Ergebnisse fur einzelne Browser wie folgt aus:
Auswahl betroffener Browser (aktuelle Version):
Android-Browser (zu erkennen an der blauen Weltkugel)
Blackberry Browser
Chrome (Android, OS X)
Dolphin (Android, iOS)
iCab (iOS)
Internet Explorer
Mercury (Android, iOS)
Opera/Opera mini (Android, iOS, Linux, OS X)
Safari (iOS, OS X, Windows)
UC Browser (Android)
Auswahl nicht betroffener Browser (aktuelle Version):
Chrome (iOS, Linux, Windows)
Firefox (Android, Linux, OS X, Windows)
Opera (Windows)
Puffin (iOS)
[UPDATE 05.03.2015, 18:40]
J. Alex Halderman, Assistenz-Professor Universität Michigan, teilte gegenuber heise Security mit, dass die fur den Freak-Test präparierten Server nicht korrekt konfiguriert waren und den Internet Explorer fälschlicherweise als sicher einstuften.
Das Testverfahren, dass die Forscher anwenden, hat das grundsätzliche Problem, dass es ein Nichtzustandekommen einer verschlusselten Verbindung manchmal so interpretiert, als wäre der Browser sicher. Da diese Verbindung aber auch aus anderen Grunden abgebrochen werden konnte, fuhrt das manchmal zu False Positives. Trotzdem versicherte Halderman, "False Postives sind sehr unwahrscheinlich. Falls der Test also sagt, dass Ihr Browser angreifbar ist, sollten Sie das glauben."
Quelle: heise online
