Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

01.04.2015

"Freak" macht Apps zum Sicherheitsrisiko

Eigentlich ist es fast schon peinlich: Die Sicherheitslücke "Freak" (Factoring Attack on RSA-Export Key), die IT-Sicherheitsfachleute am 3. März 2015 publik machten, geht auf ein überholtes US-Gesetz zurück. Bis 1992 galten in den USA strikte Exportbestimmungen in Bezug auf Verschlüsselungssoftware. IT-Sicherheitsprodukte, die in Länder außerhalb der USA exportiert wurden, mussten demnach eine schwächere Verschlüsselung aufweisen als solche, die in den Vereinigten Staaten eingesetzt wurden. Der Grund: Politiker und Militärs wollten potenziellen "Feinde" nicht dieselben Technologien zukommen lassen, die amerikanische Behörden und Streitkräfte einsetzen.

Zwar wurden diese Regelungen sukzessive gelockert. Doch die Folgen sind noch heute zu spüren, wie Freak zeigt. Entdeckt hat die Schwachstelle Karthikeyan Bhargavan, ein IT-Sicherheitsexperte des INRIA (Institut National de Recherche en Informatique et en Automatique) in Paris. Sie ermöglicht es Angreifern, HTTPS-Verbindungen zwischen angreifbaren Clients und Servern abzufangen, die eine SSL- oder TLS-Verschlüsselung verwenden.

Hacker können diese Systeme dazu bringen, eine schwächere Verschlüsselung zu verwenden, also gewissermaßen die alte "Export-Variante", die immer noch in vielen Sicherheitsprodukten vorhanden ist. Das wiederum macht es für den Cyber-Kriminellen einfacher, die Verschlüsselung auszuhebeln und Daten zu entwenden.

Immer noch viele Server verwundbar
Nach Informationen der Web-Seite Freakattack (https://freakattack.com) waren Anfang März insgesamt 26,3 Prozent HTTPS-Server verwundbar. Bei den Systemen, die Browser-Zertifikate unterstützten, waren es sogar 36,7 Prozent. Heute sind immerhin noch 11,8 Prozent aller HTTPS-Server mittels Freak angreifbar. Immerhin stehen für alle marktrelevanten Betriebssysteme und Browser mittlerweile Patches zur Verfügung, also Microsofts Internet Explorer, Mozilla Firefox, Google Chrome, Opera und Apple Safari.

Ganz anders sieht es jedoch nach Angaben von FireEye, einem der Partner von Exclusive Networks, bei Apps für Mobilgeräte aus. Nach Erkenntnissen des IT-Sicherheitsspezialisten sind auch nach Veröffentlichung von Sicherheits-Updates für Android und Apple iOS entsprechende Smartphones und Tablet-Rechner immer noch "Freak"-gefährdet.

Auch Apps für Mobilgeräte weisen Lücke auf
So hat FireEye 10.985 der beliebtesten Android-Apps unter die Lupe genommen, die im App Store "Google Play" gelistet werden. Von diesen sind 1228 (11,2 Prozent) verwundbar. Noch schlimmer: Die Mobilanwendungen mit der Lücke an Bord wurden bei Google Play mehr als sechs Milliarden Mal von Usern heruntergeladen. Die Wahrscheinlichkeit, dass sich auf einem Android-System eine App befindet, die Attacken mittels Freak erlaubt, ist somit als hoch einzuschätzen.

Etwas besser sieht es bei iOS aus. Von 14.079 besonders beliebten Apps sind 771 (5,5 Prozent) anfällig. Dies gilt für Systeme mit iOS-Versionen bis 8.1. Von den Apps für iPhones und iPads mit der aktuellen Version iOS 8.2 wiesen immerhin noch 7 Apps die Schwachstelle auf. Diese Anwendung nutzen jeweils eine eigene Version von OpenSSL.

Was Freak für Smartphone-Nutzer bedeutet
Angeblich wurden bislang noch keine Angriffe identifiziert, die sich die "Freak"-Lücke zunutze machten. Dies bedeutet jedoch nicht, dass Cyber-Kriminelle dies nicht tun werden. Dank der Sicherheitslücke können Cyber-Kriminelle beispielsweise Shopping-Apps angreifen und die Log-in- oder Kreditkartendaten von Nutzern entwenden. Doch auch andere Apps speichern persönliche Daten oder ermöglichen es Angreifern beispielsweise, das Adressbuch des Nutzers auf dem Mobilsystem zu plündern.

Smartphones und Tablets stellen somit ein wertvolles Ziel für Angreifer dar. Dennoch wird die Sicherheit von mobilen Endgeräten von vielen Nutzern noch immer nachlässig behandelt. Das ist nicht alleine für private Nutzer ein Problem, deren Systeme mit Schadsoftware verseucht oder von Angreifern "gekapert" werden. Auch Unternehmen sollten mobile Endgeräte schützen, um den Verlust von Geschäftsdaten zu verhindern. Lösungen, mit denen sich Angriffe mittels Freak und Co. unterbinden sind sehr wohl verfügbar, beispielsweise Mobile Threat Prevention von FireEye.

Freak ist nur die Spitze des Eisbergs
Mit Mobile Threat Prevention lassen sich beispielsweise Angriffe auf iOS- und Android-Systeme und die darauf installierten Apps im Vorfeld identifizieren und abwehren. Ein solcher proaktiver Schutz ist umso wichtiger, je häufiger Unternehmen ihren Mitarbeitern gestatten, eigene Mobilsysteme für berufliche Zwecke zu nutzen. Doch solche Smartphones oder Tablets dürfen in keinem Fall zu einem "Trojanischen Pferd" werden, über das sich Angreifer ins Firmennetzwerk vorarbeiten oder mit dessen Hilfe sie Geschäftsunterlagen "absaugen".

Denn über eines müssen sich Unternehmen im Klaren sein: Schwachstellen wie Freak sind nur die Spitzes des Eisbergs. Je mehr Mobilsysteme im Einsatz sind, desto interessanter werden sie für Cyber-Kriminelle als Zielobjekte. Darüber sollten sich die IT-Abteilungen, Compliance-Fachleute und IT-Security-Spezialisten von Unternehmen im Klaren sein. Aber nicht nur sie, sondern jeder, der Mobilsysteme nutzt – privat oder beruflich.


Exclusive Networks Switzerland AG auf Security - Finder Schweiz

FireEye auf Security - Finder Schweiz


Security-Finder Schweiz: Newsletter