Netzpolitik
04.03.2015

Freak-Lücke macht Apple- und Android-Nutzer angreifbar

Eine alte, gesetzlich verordnete Hintertür macht neben dem Safari- und dem Android-Browser rund ein Drittel aller Webseiten angreifbar.

Sicherheitsforscher haben ein Verschlüsselungsproblem entdeckt, das Rechner unter anderem über Apples Browser Safari oder den Android-Browser angreifbar macht. Ebenso sollen mehr als ein Drittel aller verschlüsselten Webseiten für diesen Angriffsvektor anfällig sein. Darunter befinden sich American Express, Groupon, Marriot und sogar Regierungsseiten. Hier kann getestet werden, ob das eigene System anfällig ist.

Apple hat ein Update, das die Lücke schließen soll, für die kommenden Tage angekündigt. Google hat ebenso eine Aktualisierung des Android-Browsers in Aussicht gestellt. Googles Chrome-Browser ist ebenso wenig von der Freak-Lücke betroffen wie die Browser von Microsoft und Mozilla. Auch viele Betreiber betroffener Webseiten haben gemeldet, dass sie die Lücke schnellstmöglich schließen wollen. Bislang gebe es allerdings keinen Hinweis, dass die Hintertür von Hackern ausgenutzt wurde.

Gesetzlich verordnete Backdoor

Zurückzuführen ist die Lücke namens "Factoring attack on RSA-EXPORT Key" (FREAK) auf ein altes US-Gesetz, das den Herstellern verboten hat, ihre Software außerhalb der USA mit hohen Verschlüsselungsstandards zu vertreiben.

Nachdem das Gesetz gekippt wurde, sind manche Webseiten und Browser anscheinend nicht entsprechend angepasst worden, sodass diese Schwäche ausgenutzt werden kann. Entdeckt haben die Freak-Lücke Forscher des Johns Hopkins Information Security Institute der Universität Baltimore.