SSL-Zertifikat für Browser-Betrug im Internet aufgetaucht

Mit dem Zertifikat können beispielsweise Phisher ihre eigenen Server als Bank-Server ausgeben

Nachdem Sicherheitsexperte Moxie Marlinspike auf der Back Hat-Konferenz im Juli eine Methode demonstriert hat, wie man Browser mit einem eigenen, speziell benannten SSL-Zertifikat austricksen kann, wurde nun auf einer Hacker-Mailingsliste ein entsprechendes Zertifikat mit privatem Schlüssel veröffentlicht. Das Zertifikat kann theoretisch für jede Domain ausgeliefert werden ohne, dass es der Nutzer merkt.

Phishing

Laut heise hat Sicherheitsspezialist Jacob Appelbaum das Trick-Zertifikat über die Noisebridge-Mailingliste veröffentlicht. Ausgenutzt werden könnte das SSL-Zertifikat beispielsweise von Phishern, indem sie damit eigene Server als Bankserver ausweisen.

Browser bereits aktualisiert

Der Angriff funktioniert allerdings nicht bei allen Browsern, zumal aktuelle Browser in den vergangenen Wochen mit Updates dagegen geschützt wurden. Laut heise seien auch schon andere Produkte und Frameworks, die SSL-Zertifikate verwenden, aktualisiert worden. Deshalb sei es nach Ansicht von Appelbaum auch nicht verwerflich, dass er nun das Fake-Zertifikat samt Schlüssel veröffentlicht hat. (red)

 

Share if you care