Die österreichische Technologiehersteller Rise hat eine Schwachstelle im Sicherheitsprotokoll TLS aufgedeckt. Dieses bildet unter anderem die Grundlage für die Absicherung von Internetverbindungen via HTTPS und SSL.
Das Leck wurde von Rise auf der Sicherheitskonferenz Usenix im Detail vorgestellt. Dabei wurde auch vorgeführt, wie man auf User von Facebook und Youtube Man-in-the-Middle-Attacken durchführen kann.
Fehler behoben
In Zusammenarbeit mit betroffenen Unternehmen wie Apple und Facebook wurde die Lücke bereits vor ihrer Enthüllung gekittet. Damit konnte nach eigenen Angaben von Rise ein "Sicherheits-Desaster" verhindert werden, zählen doch Schwachstellen in Protokollen zu den gefährlichsten, weil weitreichensten Problemen.
Großes Angriffspotenzial
Facebook war die Entdeckung denn auch eine Belohnung in Form eines Bug Bounty Awards wert. Genauere Informationen über die KCI-Attacke gegen TLS können auf einer eigenen Website nachgelesen werden.
Die Schwachstelle hatte es Angreifern ermöglicht, sich gegenüber dem Browser als vertrauenswürdiger Server auszugeben und somit unverschlüsselte Kommunikation mitzulesen und nach heiklen Informationen wie Passwörtern oder Kreditkartennummern zu schnüffeln. Auch eine Manipulation der Kommunikation war möglich. (red, 14.09.2015)