[Post Format aside 478]Freak-Angriff

Der Freak-Angriff kompromittiert unzählige verschlüsselte Webseiten und Angreifer könnten sensible Daten ausspionieren. Ob man für die Attacke anfällig ist, hängt aber vom eingesetzten Betriebssystem, Webbrowser und der besuchten Internetseite ab.
Das Angriffsszenario Freak (Factoring Attack on RSA-EXPORT Keys) erlaubt es,  mit SSL/TLS geschützten Datenverkehr zu entschlüsseln. Angreifer könnten so etwa die Kommunikation zwischen Nutzer und besuchter Webseite mitschneiden und im schlimmsten Fall sensible Daten mitlesen.

Ein erfolgreicher Angriff setzt immer eine bestimmte Kombination aus Betriebssystem und Webbrowser voraus. Denn diese Kombination bestimmt, ob das System des Nutzers dazu gebraucht werden kann, schwache Krypto-Schlüssel zu akzeptieren. Angreifer könnten so etwa die Kommunikation zwischen Nutzer und besuchter Webseite mitschneiden und im schlimmsten Fall sensible Daten mitlesen.

Ruhe bewahren

Selbst wenn alle für einen erfolgreichen Angriff nötigen Punkte erfüllt sind, braucht man nicht in Panik zu verfallen. Denn bei dem möglichen Man-in-the-Middle-Angriff muss es sich um eine gezielte Attacke handeln: Zuhause müsste sich ein potentieller Angreifer erst Zugang zum Router der Zielperson verschaffen. In einem öffentlichen Netzwerk, etwa in einem Café, kann der Freak Attack aber durchaus gefährlich sein. Auch Geheimdienste könnten ihn unter Umständen nutzen, um massenweise Traffic abzugreifen und zu entschlüsseln.

Aktuell ist nicht bekannt, dass der Freak Attack aktiv in Gebrauch ist. Ivan Ristic von den SSL Labs bei Qualys sagte auf Anfrage von heise Security, der Angriff sei zwar theoretisch einfach auszuführen. In der Realität sind aber so viele Variablen involviert, dass sich ein Angriff auf beliebige Nutzer als schwierig darstellt.

Schutz vor Freak Attack: Diese Browser sind betroffen:
Auswahl betroffener Browser (aktuelle Version):

Android-Browser (zu erkennen an der blauen Weltkugel)
Blackberry Browser
Chrome (Android, OS X)
Dolphin (Android, iOS)
iCab (iOS)
Internet Explorer (Windows, Windows Phone)
Mercury (Android, iOS)
Opera/Opera mini (Android, iOS, Linux, OS X)
Safari (iOS, OS X, Windows)
UC Browser (Android)

Auswahl nicht betroffener Browser (aktuelle Version):

Chrome (iOS, Linux, Windows)
Firefox (Android, Linux, OS X, Windows)
Opera (Windows)
Puffin (iOS)

 

Quelle Heise