Aufgrund der Freak-Sicherheitslücke können Passwörter aus Android- und iOS-Apps abgegriffen werden

© Fireeye

Digital Life
03/23/2015

Freak-Schwachstelle macht iOS- und Android-Apps angreifbar

Laut der IT-Security-Firma Fireeye sind über tausend populäre Android- und iOS-Apps anfällig für eine Freak-Attacke.

Wie das IT-Sicherheitsunternehmen Fireeye berichtet, sind nicht nur die Browser von iOS und Android anfällig für die Freak-Schwachstelle, sondern auch Apps. Fireeye hat populäre Apps untersucht, die mehr als eine Million Downloads haben. 1.228 von 10.985 untersuchten Android-Apps sind anfällig für Freak-Attacken. Das entspricht 11,2 Prozent. Bei iOS sind es 771 von 14.079 Apps (5,5 Prozent).

Um die Lücke zu nutzen, müssen sowohl App als auch Server die alten TLS Verschlüsselungsalgorithmen nutzen. Ist das der Fall können mit einer Man-in-the-Middle-Attacke, etwa in einem öffentlichen WLAN, Passwörter und Kreditkartendaten abgegriffen werden. Als Beweis für die Anfälligkeit hat Fireeye zwei Screenshots, einmal mit Passwort und einmal mit Kreditkartendaten, in einem Blogpost veröffentlicht.

Gesetzlich verordnete Backdoor

Zurückzuführen ist die Lücke namens "Factoring attack on RSA-EXPORT Key" (FREAK) auf ein altes US-Gesetz, das den Herstellern verboten hat, ihre Software außerhalb der USA mit hohen Verschlüsselungsstandards zu vertreiben.

Nachdem das Gesetz gekippt wurde, sind manche Webseiten und Browser anscheinend nicht entsprechend angepasst worden, sodass diese Schwäche ausgenutzt werden kann. Entdeckt haben die Freak-Lücke Forscher des Johns Hopkins Information Security Institute der Universität Baltimore.