Die Sicherheitslücke "Freak" ist noch immer nicht geschlossen, Smartphone-Nutzer sind weiterhin gefährdet. Hunderte Apps für Android und iPhone sind nicht ausreichend geschützt, Entwarnung gibt es nur für eine iOS-Version.

Anfang März entdeckten Sicherheitsforscher die Freak-Schwachstelle in Apples Safari-Browser und im Standard-Browser von Android, wenige Tage später stellte sich heraus, dass auch Microsofts Internet Explorer und Windows anfällig gegenüber der Schwachstelle waren. Microsoft und Apple haben inzwischen entsprechende Patches ausgeliefert, um das Leck zu flicken, doch die mobilen Plattformen Android und iOS sind weiterhin gefährdet: Das Sicherheitsunternehmen FireEye will hunderte Apps entdeckt haben, die für Freak anfällig sind.  

Die Abkürzung "Freak" steht für "Factoring attack on RSA-EXPORT Keys". Es handelt es sich um eine Schwachstelle, die potentiell sichere HTTPS-Verbindungen unsicher macht. Browser werden beim Besuch bestimmter Webseiten dazu bewegt, veraltete und schwächere Verschlüsselung zu verwenden. So können Angreifer mit geringem Aufwand sensible Daten abfangen oder Datenverbindungen zwischen angreifbaren Clients und Servern manipulieren.

Nur eine iOS-Version ist fast sicher

Problematisch ist das bei Smartphones für alle Apps, in denen persönliche Informationen preisgegeben werden - zum Beispiel bei Shopping-Apps, bei denen Angreifer Login- und Kreditkartendaten der Nutzer abgreifen können. Betroffen sind laut FireEye Apps, die eine angreifbare Version der Verschlüsselungs-Software OpenSSL verwenden. Konkrete Beispiele nennt das Unternehmen nicht.  

Auch Wochen nach Bekanntwerden der Schwachstelle seien die aktuellen Versionen von Android und iOS noch anfällig für Angriffe über diese Sicherheitslücke, meldet FireEye. Von 10.985 untersuchten Android-Apps seien 1228 betroffen, immerhin 11,2 Prozent. Diese als angreifbar identifizierten Apps wurden laut FireEye insgesamt mehr als sechs Milliarden Mal heruntergeladen.

Bei iOS sind weniger Apps betroffen: Von 14.079 Apps waren nur 771 anfällig, das entspricht 5,5 Prozent. Unter der aktuellen iOS-Version 8.2 hat sich die Zahl drastisch reduziert, FireEye entdeckte hier nur noch sieben verwundbare Apps, die eine eigene OpenSSL-Version verwenden.