RISE Security Spezialisten finden Sicherheitslücke in TLS
ESSE, die Sicherheitsabteilung und IT-Security Forschungsgruppe der RISE, hat eine sehr kritische Schwachstelle des TLS (Transport Layer Security) entdeckt und auf internationaler Sicherheitskonferenz veröffentlicht. TLS, besser bekannt in der gemeinsamen Nutzung mit HTTP als HTTPS und auch bekannt als SSL (Secure Sockets Layer), ist eines der wichtigsten und meistverwendetsten Sicherheitsprotokolle im Internet und wird z.B. weltweit im e-Banking eingesetzt.
Der Angriff ermöglicht einem sogenannten Man-in-the-Middle Angreifer die kryptographischen Mechanismen zum Schutz der Kommunikation vollständig auszuhebeln: Ein erfolgreicher Angriff ermöglicht es Hackern private Daten mitzulesen und beliebig zu verändern. Durch die Arbeit der Sicherheitsforscher der RISE konnte eine wesentliche Sicherheitslücke geschlossen werden, durch die Veröffentlichung des Fehlers soll ein Wiederauftretendes Fehlers in neuen Systemen verhindert werden! Unter anderem war Apples eigene TLS-Bibliothek verwundbar. Dadurch konnten Verbindungen von Mac OS X Geräten zu Seiten wie beispielsweise auch Facebook angegriffen werden. Diese Hintertüre ist zu! Facebook hat das mit dem BugBounty-Award gewürdigt. Eine globale Auszeichnung.
Mehr Informationen und technische Details auf kcitls.org (Englisch)