Von der Sicherheitslücke "Freak" sind der Android-Browser und Apples Safari betroffen. Foto: Christoph Schroeter

„Freak“ – schwere Sicherheitslücke im Android-Browser

Die Sicherheitslücke „Freak“ besteht seit Jahrzehnten, doch erst jetzt wurde sie in Apples Browser Safari und im Android-Browser in Googles mobilem Betriebssystem von Experten entdeckt. Dadurch kann der Datenverkehr beim Besuch einer eigentlich sicheren Webseite entschlüsselt werden.

Immerhin ist dieser Angriff nicht ganz einfach auszuführen, spezielles Fachwissen sowie technischer Aufwand sind dafür vonnöten. Sowohl Apple als auch Google kündigten an, das Leck „Freak“ umgehend schließen zu wollen.

Ihren Ursprung hat „Freak“ – die Abkürzung steht für „Factoring attack on RSA-EXPORT Keys“ – bereits in den 80er- und 90er-Jahren. Damals war es Firmen aus den USA noch verboten, effiziente Verschlüsselungstechnik ins Ausland zu verkaufen.

Erst Ende der 90er-Jahre wurde dieses Verbot aufgehoben. Dummerweise verschwand die unsichere Form der Verschlüsselung damit aber nicht komplett, sie ist bis heute in verschiedener Software zu finden.

Bis dahin mussten die Firmen Software ins Ausland verkaufen, die lediglich mit einer 512-Bit-Verschlüsselung gesichert war, diese galt bereits Anfang 2000 als überholt.

FBI, NSA, Weißes Haus

Es gab weiter eine Zahl bestimmter Webseiten, die den Browser dazu aufforderten, die alte Verschlüsselungstechnologie zu verwenden. Pikanterweise gehörten dazu auch einige US-Regierungsseiten, darunter die der Bundespolizei FBI, der Schnüffelbehörde NSA und sogar des Weißen Hauses, meldet die „Washington Post“. Entdeckt wurde diese gefährliche Sicherheitslücke nun von Experten des französischen Computer-Forschungsinstituts Inria und von Microsoft.

Mit Hilfe der Lücke können Cyber-Angreifer die Kommunikation der User ausspionieren, die die beiden genannten Browser nutzen. Innerhalb weniger Stunden sei die schwache Verschlüsselung der betroffenen Webseiten zu knacken, warnen die Experten. Glaubt der User, mit einer sicheren Seite im Netz zu kommunizieren, wird im Hintergrund eben jene Kommunikation von den Angreifern mitgeschnitten.

Nicht von der Panne betroffen sind Googles Chrome (in der Desktop-Version), der Internet Explorer von Microsoft und Firefox.

Von Apple kam nun die Meldung, man werde in der kommenden Woche ein Update ausliefern und Google teilte mit, man habe Partnern bereits eine Software-Aktualisierung zur Verfügung gestellt. Die damit gemeinten Hersteller von Android-Smartphones und -Tablets wie Samsung, LG oder HTC müssen das Update an ihre Kunden weiterreichen.

Geschrieben von Maren

Maren Richter ist seit Jahren Expertin im Bereich Smartphones und Smartphone-Tarife. Nach ihrem IT-Studium arbeitete sie mehrere Jahre für eines der größten deutschen Telekommunikations-Unternehmen. Inzwischen ist sie als freie Beraterin und Autorin tätig. Kontakt-Möglichkeiten gibt es über Kontakt-Link unten.