Lesezeit: 2 Minuten
Es wurde eine SSL/TLS-Schwachstelle identifiziert, die Angreifer nutzen könnten, um die Kryptografie von HTTPS-Verbindungen auf eine für Entschlüsselung anfällige herunterzustufen. Dadurch können Angreifer die Kommunikation zwischen einem Browser und einem Server abhören. Der Schweregrad dieser Schwachstelle ist extrem hoch, da Angreifer damit Anmeldeinformationen für sensible Systeme wie Banking-Websites erhalten können, um Finanzbetrug zu begehen.
Dies erinnert an die jüngsten Heartbleed- und POODLE-Schwachstellen, die ebenfalls ausgenutzt werden könnten, um verschlüsselte Kommunikation zu kompromittieren.
Die Schwachstelle mit dem Spitznamen FREAK-Angriff betrifft Code aus dem OpenSSL-Projekt, wie es Heartbleed letztes Jahr getan hat. Die Auswirkungen variieren jedoch je nach Browser des jeweiligen Anbieters.
Apple Safari und Android-Browser wurden als anfällig bestätigt. Chrome ist jedoch nicht betroffen, ebenso wie Internet Explorer und Firefox.
Wie konnte das passieren?
In den 1990er Jahren wollte die US-Regierung den Export von ihrer Ansicht nach „waffentauglicher“ Verschlüsselung kontrollieren. Sie würden die für die damalige Zeit starke 128-Bit-Verschlüsselung in den USA zulassen, aber die Feds wollten, dass US-Geheimdienste und Strafverfolgungsbehörden „Hintertüren“ haben, wenn es um Auslandskommunikation geht. Eine schwache 40-Bit-Verschlüsselungssuite wurde als „Export Grade“ für die Verwendung außerhalb der Vereinigten Staaten eingeführt, die die amerikanischen Behörden bei Bedarf knacken könnten.
Obwohl die meisten Browser die 40-Bit-Suites seit Jahren nicht mehr unterstützen, sind sie in bis zu einem Drittel der SSL-Bibliotheken und -Browser vorhanden. Wenn die Suite in einem Browser vorhanden ist, kann ein Angreifer einen sogenannten „Downgrade-Angriff“ ausführen und die Verwendung der schwachen Cipher-Suite erzwingen. Verwendung einer Man-in-the-Middle-Angriff, fügt der Angreifer einen Prozess zwischen Browser und Server ein, um ihre Nachrichten abzufangen und zu entschlüsseln.
Leider ist diese Funktion immer noch in vielen Webservern integriert, bis zu einem Drittel. Ein Angreifer kann die anfälligen Clients und Server dazu zwingen, die schwachen Verschlüsselungen in Exportqualität beim Abfangen von HTTPS-Verbindungen zu verwenden, um Nachrichten zu entschlüsseln oder zu ändern, die sie mit einem Man-in-the-Middle-Angriff abfangen.
Was sollten Sie tun?
Damit diese Art von Angriff erfolgreich ist, müssen sowohl der Webserver als auch der Browser des Opfers angreifbar sein. Wenn Sie einen Webserver betreiben, sollten Sie die Unterstützung für alle Export-Suites und alle bekannten unsicheren Chiffren deaktivieren. Anschließend sollten Sie Forward Secrecy aktivieren. Mozilla hat einen Leitfaden und einen SSL-Konfigurationsgenerator veröffentlicht, der bekanntermaßen gute Konfigurationen für gängige Server generiert.
Für Webbenutzer können Sie auf dieser Seite überprüfen, ob Ihr Browser anfällig ist:
https://freakattack.com/clienttest.html
Apple und Google beeilen sich mit der Behebung ihrer Browserprobleme, aber dies könnte ein guter Zeitpunkt sein, um den auf Chromium basierenden Browser von Comodo auszuprobieren Comodo Dragon oder die Firefox-basierte Comodo IceDragon. Beide haben unübertroffene Datenschutz- und Sicherheitsfunktionen und können kostenlos heruntergeladen werden.
KOSTENLOS TESTEN ERHALTEN SIE IHRE SOFORTIGE SICHERHEITSKORECARD KOSTENLOS
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Kaufen und verkaufen Sie Anteile an PRE-IPO-Unternehmen mit PREIPO®. Hier zugreifen.
- Quelle: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :hast
- :Ist
- :nicht
- 40
- 7
- a
- Alle
- erlauben
- Zulassen
- ebenfalls
- amerikanisch
- an
- und
- androide
- jedem
- Apple
- SIND
- AS
- At
- Attacke
- Verwaltung
- Bankinggg
- basierend
- BE
- weil
- war
- zwischen
- Bit
- Blog
- beide
- Break
- Browser
- Browsern
- erbaut
- aber
- by
- kam
- CAN
- aus der Ferne überprüfen
- Chrome
- Chrom
- Chiffre
- klicken Sie auf
- Kunden
- Code
- COM
- verpflichten
- gemeinsam
- Kommunikation
- Kommunikation
- Comodo Nachrichten
- Kompromiss
- Konfiguration
- BESTÄTIGT
- Verbindungen
- betrachtet
- Smartgeräte App
- könnte
- Referenzen
- Geheimschrift
- Tag
- Entschlüsseln
- Geräte
- DID
- anders
- do
- Degradieren
- herunterladen
- ermöglichen
- verschlüsselt
- Verschlüsselung
- Durchsetzung
- Event
- Exploited
- Forscher
- exportieren
- äußerst
- Merkmal
- Eigenschaften
- FBI
- Revolution
- Finanzbetrug
- Firefox
- Aussichten für
- Zwingen
- fremd
- vorwärts
- Betrug
- Frei
- für
- erzeugen
- Generator
- bekommen
- gut
- der Regierung
- Klasse
- Guide
- passieren
- Haben
- Herzbluten
- GUTE
- aber
- HTML
- http
- HTTPS
- identifiziert
- if
- Impact der HXNUMXO Observatorien
- in
- Information
- unsicher
- Einsätze
- sofortig
- Intelligenz
- Internet
- Internet Security
- eingeführt
- Probleme
- IT
- SEINE
- jpg
- bekannt
- Nachname
- Letztes Jahr
- Recht
- Strafverfolgung
- Bibliotheken
- login
- Mann
- viele
- max-width
- Nachrichten
- Mitte
- könnte
- vor allem warme
- MOUNT
- Mozilla
- sollen
- erforderlich
- News
- erhalten
- of
- on
- EINEM
- openssl
- betreiben
- or
- aussen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Gegenwart
- Datenschutz
- Datenschutz und Sicherheit
- Prozessdefinierung
- Projekt
- veröffentlicht
- kürzlich
- bezeichnet
- erinnernd
- s
- Safari
- Scorecard
- Sicherheitdienst
- senden
- empfindlich
- Fertige Server
- Lösungen
- sollte
- am Standort
- Seiten
- SSL
- Staaten
- Immer noch
- stark
- Erfolg haben
- so
- Suite
- Support
- Unterstützte
- Systeme und Techniken
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- dann
- vom Nutzer definierten
- Dritte
- fehlen uns die Worte.
- Zeit
- zu
- versuchen
- tippe
- uns
- US-Regierung
- Vereinigt
- USA
- Unerreicht
- us
- -
- benutzt
- Nutzer
- Verwendung von
- Verkäufer
- Sicherheitslücken
- Verwundbarkeit
- Verwundbar
- wollte
- Warnung
- wurde
- Netz
- Web-Server
- Was
- Was ist
- wann
- welche
- werden wir
- würde
- Jahr
- Jahr
- Du
- Ihr
- Zephyrnet