Anscheinend ist die „FREAK“ Lücke im SSL und TLS immer noch nicht ganz geschlossen. Die beiden größten Herrsteller für mobile Betriebssysteme Apple und Android reichten zwar ein Patch zu der Sicherheitslücke nach aber dennoch ist es möglich mit der sogenannten FREAK Attack Daten mit zu schneiden. Es gibt immer noch tausende Apps die mit der FREAK Attacke ausspioniert werden können. Das Problem liegt aber anscheinend nicht an den Betriebssystemen selbst, sondern an den Entwicklern der Apps.
OpenSSL ist das Problem
Es gibt immer wieder mal Apps die eigene, sogenannte OpenSSL Zertifikate zur Verschlüsselung der zu übertragenden Daten benutzen.Dies führt dann zum Problem wenn die Entwickler der Apps dieses eigene OpenSSL Zertifikat nicht updaten. Da hilft dann auch kein Update des Betriebssystems mehr. Aktuell sollen noch ca. 1200 Apps für Android und 770 Apps für Apple davon betroffen sein. Die Entwickler von OpenSSL haben zwar bereits ein Patch geliefert aber dieser scheint noch nicht in alle Apps die dieses Zertifikat nutzen integriert zu sein.
Es liegt nun an den Entwicklern der Apps dieses schleunigst nach zu holen um die bestehende Gefahr abzustellen. Ob das jeder Entwickler macht ist natürlich fraglich, denn nicht jede kleine App schmiede beschäftigt sich anscheinend auch mit der Sicherheit der Apps und dem Schutz der Daten des jeweiligen App Nutzers.
Patch nur für Android 5.x.x
Leider gibt es den Patch nur ab der Android Version 5.0. Alle anderen Versionen werden dieses Sicherheitsupdate wohl nicht mehr eingespielt bekommen und bleiben für immer angreifbar. Es sei denn die Entwickler der Apps spielen selbst einen Patch per App-Update ein.
Quelle: Heise