Freak-Schwachstelle macht iOS- und Android-Apps angreifbar

Wie das IT-Sicherheitsunternehmen Fireeye berichtet, sind nicht nur die Browser von iOS und Android anfällig für die Freak-Schwachstelle, sondern auch Apps. Fireeye hat populäre Apps untersucht, die mehr als eine Million Downloads haben. 1.228 von 10.985 untersuchten Android-Apps sind anfällig für Freak-Attacken. Das entspricht 11,2 Prozent. Bei iOS sind es 771 von 14.079 Apps (5,5 Prozent).

Um die Lücke zu nutzen, müssen sowohl App als auch Server die alten TLS Verschlüsselungsalgorithmen nutzen. Ist das der Fall können mit einer Man-in-the-Middle-Attacke, etwa in einem öffentlichen WLAN, Passwörter und Kreditkartendaten abgegriffen werden. Als Beweis für die Anfälligkeit hat Fireeye zwei Screenshots, einmal mit Passwort und einmal mit Kreditkartendaten, in einem Blogpost veröffentlicht.

Gesetzlich verordnete Backdoor

Zurückzuführen ist die Lücke namens "Factoring attack on RSA-EXPORT Key" (FREAK) auf ein altes US-Gesetz, das den Herstellern verboten hat, ihre Software außerhalb der USA mit hohen Verschlüsselungsstandards zu vertreiben.

Nachdem das Gesetz gekippt wurde, sind manche Webseiten und Browser anscheinend nicht entsprechend angepasst worden, sodass diese Schwäche ausgenutzt werden kann. Entdeckt haben die Freak-Lücke Forscher des Johns Hopkins Information Security Institute der Universität Baltimore.