Auf Geheiß der US-Regierung:
Safari und Android-Browser mit mangelhafter Verschlüsselung
Eine unter dem Namen Freak bekannt gewordene Sicherheitslücke gefährdet offenbar Apple- und Android-Systeme. Konkret werden dabei auf OpenSSL (Android) oder TLS/SSL (Safari) basierende sichere Verbindungen ausgehebelt.
(Bild: Shutterstock)
Die Schwachstelle besteht nicht erst seit kurzer Zeit, sondern geht auf eine bis Ende der 1990er-Jahre gültige Anordnung der US-Regierung zurück. Softwarefirmen war es bis dahin untersagt, Produkte mit strengstmöglicher Verschlüsselung auszuliefern. Die Firmen verpflichteten sich zur Verwendung schwächerer Verschlüsselungssysteme und hielten den Regierungsbehörden auf diese Weise eine potenzielle Hintertür offen.
Die Ursache dafür, dass sich die mit vergleichsweise wenig Aufwand zu knackende Verschlüsselungstechnik bis heute in Softwareprodukten halten konnte, dürfte auf Schlamperei zurückzuführen sein. Obwohl die Regierungsrichtlinie längst nicht mehr gültig ist gelang es Forschern, aktuelle Browser bei gesicherten Verbindungen zur Anwendung der schwächeren Verschlüsselung zu zwingen – darunter eben auch Apples Safari.
Eine Apple-Sprecherin ließ gegen über der Washington Post verlauten, dass ein Update für Mac und iOS diesbezüglich bereits in Arbeit sei – die US-Zeitung hat in einem umfassenden Artikel auf die Gefährdung aufmerksam gemacht. Auch Google will schnellstmöglich eine Aktualisierung für die betroffenen Android-Systeme bereitstellen.
Detaillierte und fachlich fundierte Informationen zu „FREAK“ finden sich unter anderem im Cryptographic Engineering Blog.