Das Wort Freak steht im Deutschen für irgendwen oder -was sonderbares. So gibt es ein sonderbares Sicherheitsproblem bei mobilen Browsern. Betroffen sind der Safari Browser für Mac und iOS sowie der eingebaute Stock-Browser für Android. Firefox und Google Chrome und alles rund um Windows Phone sind offensichtlich nicht betroffen. Oder es ist noch nicht bekannt. Jedenfalls haben wir hier eine fette Lücke seit den Neunzigern.
Es gab wohl in den Neunzigern eine Verschlüsselungsmethode der US-Regierung. Damit wurde Betreibern von Webseiten aufgedrängelt, dass Besucher vom anderen Ufer des großen Teiches nur schwach verschlüsselt auf Webseiten zugreifen dürfen, US-Besucher aber dies mit einer sicheren Verschlüsselung tun konnten. Es handelte sich bei europäischen Besuchern um eine Verschlüsselung mit 512 Bit, bei US-Besuchern um 1024 Bit. SSL-Entwickler hatten etwas gebastelt, um beides zu gewährleisten, und nach dem Ende der seltsamen US-Vorschrift verblieb eben diese Bastelarbeit in jeder Menge Software vorhanden.
Es ist ja nun kein Geheimnis, dass schwache Verschlüsselung schnell und verhältnismäßig einfach geknackt werden kann. Pascal Wuttke hat das in Caschys Blog einmal verglichen. Die spannende Frage war ja, ob der US-Auslandsgeheimdienst NSA diese Bastelei ausgenutzt hat, um Zugriff auf die Kommunikation von ausländischen Besuchern zu erlangen. Behauptet wird es. Denn die NSA nutzte ja in den vergangenen Jahren / Jahrzehnten immer wieder Hintertüren in Software oder Elektronik für ihre Zwecke aus.
Unter deutschen Webseiten sind zum Beispiel giga.de, testberichte.de, filmstarts.de, markt.de, t3n.de oder pcgameshardware.de betroffen. Angemerkt sei aber an dieser Stelle, dass man sich wohl nur einer theoretischen Gefahr aussetzen kann, wenn man mit dem Safari von einem Apple-Gerät oder mit dem eingebauten Stock-Browser (die blaue Weltkugel) bei Android die jeweilige Seite aufruft. Wie ich oben bereits schrieb, sind wohl Firefox oder Google Chrome nicht betroffen.
Apple und Google wollen trotzdem reagieren. Es besteht wohl ein Bewusstsein für die Sicherheitslücke. Demnächst soll diese geschlossen werden. Apple plant ein Update bereits für die kommende Woche, bei Android kann es durch die Netzbetreiber einen Moment länger dauern. Wie es mit dem Internet Explorer aussieht, kann ich nicht mit Bestimmtheit sagen. Ich würde aber davon ausgehen, dass Microsoft auch mit Sicherheitsupdates arbeiten wird.
One Reply to “FREAK-Attack auf Android-Browser und Safari möglich”