Falsches Zertifikat:
Google stand fünf Wochen offen
Unbekannten ist es gelungen, an ein SSL-Zertifikat zu kommen, dass von Browsern als reguläres Zertifikat für Google-Dienste interpretiert wurde. Dadurch waren sie in der Lage, mit Man-in-the-middle-Angriffen Zugang zu Nutzerkonten zu erlangen.
"Das ist ein Joker für sämtliche Google-Domains", erklärte Roel Schouwenberg, Leiter der Malware-Forschung beim russischen Security-Dienstleister Kaspersky Labs, die Lage gegenüber dem Magazin 'InfoWorld'. Angreifer hätten das Zertifikat beispielsweise nutzen können, um Nutzer mit gefälschten DNS-Einträgen auf ihre eigene Seite zu locken.
Diese hätte sich dann als originales Google-Angebot ausweisen können. Auf diese Weise kommt man an Nutzerdaten, ohne, dass die betroffenen Anwender auch nur eine Chance haben, das Problem zu erkennen. Ausgegeben hatte das falsche Zertifikat der niederländische Dienstleister DigiNotar.
Aktuell ist noch unklar, was schief gelaufen ist. Möglich wäre einerseits ein Fehler seitens eines Mitarbeiters von DigiNotar, aber auch ein Einbruch in das Zertifikat-Vergabesystem ist denkbar. Von dem Unternehmen gibt es dazu aktuell noch keine Stellungnahme.
Die Bürgerrechts-Organisation Electronic Frontier Foundation (EFF) will Hinweise darauf gefunden, dass das falsche SSL-Zertifikat in den Händen iranischer Behörden lag. Diese könnten den digitalen Ausweis genutzt haben, um die E-Mail-Konten von Oppositionellen auszuspionieren.
Fünf Wochen blieb das falsche Zertifikat unentdeckt. Aufgeflogen ist es nun offenbar durch eine neue Sicherheits-Funktion in Googles Browser Chrome. Dieser verlässt sich inzwischen nicht mehr nur darauf, dass ein Zertifikat scheinbar echt ist, sondern auch, ob es von der richtigen Ausgabestelle stammt.
Die großen Browser-Hersteller haben inzwischen reagiert. Da unklar ist, ob es sich bei dem Vorgang um einen Einzelfall handelt, hat Microsoft vorsorglich alle DigiNotar-Zertifikate als ungültig eingestuft. Auch Google und Mozilla haben inzwischen entsprechende Updates für ihre Produkte angekündigt.
Schouwenberg forderte DigiNotar auf, schnellstens für Klarheit zu sorgen. Sollten noch mehr falsche Zertifikate im Umlauf sein seien nämlich nicht nur ein paar E-Mail-Postfächer in Gefahr. Auch die Glaubwürdigkeit der Verschlüsselung in eGouvernment-Angeboten und im Online-Banking stünde dann nämlich zur Debatte.
Diese hätte sich dann als originales Google-Angebot ausweisen können. Auf diese Weise kommt man an Nutzerdaten, ohne, dass die betroffenen Anwender auch nur eine Chance haben, das Problem zu erkennen. Ausgegeben hatte das falsche Zertifikat der niederländische Dienstleister DigiNotar.
Aktuell ist noch unklar, was schief gelaufen ist. Möglich wäre einerseits ein Fehler seitens eines Mitarbeiters von DigiNotar, aber auch ein Einbruch in das Zertifikat-Vergabesystem ist denkbar. Von dem Unternehmen gibt es dazu aktuell noch keine Stellungnahme.
Die Bürgerrechts-Organisation Electronic Frontier Foundation (EFF) will Hinweise darauf gefunden, dass das falsche SSL-Zertifikat in den Händen iranischer Behörden lag. Diese könnten den digitalen Ausweis genutzt haben, um die E-Mail-Konten von Oppositionellen auszuspionieren.
Fünf Wochen blieb das falsche Zertifikat unentdeckt. Aufgeflogen ist es nun offenbar durch eine neue Sicherheits-Funktion in Googles Browser Chrome. Dieser verlässt sich inzwischen nicht mehr nur darauf, dass ein Zertifikat scheinbar echt ist, sondern auch, ob es von der richtigen Ausgabestelle stammt.
Die großen Browser-Hersteller haben inzwischen reagiert. Da unklar ist, ob es sich bei dem Vorgang um einen Einzelfall handelt, hat Microsoft vorsorglich alle DigiNotar-Zertifikate als ungültig eingestuft. Auch Google und Mozilla haben inzwischen entsprechende Updates für ihre Produkte angekündigt.
Schouwenberg forderte DigiNotar auf, schnellstens für Klarheit zu sorgen. Sollten noch mehr falsche Zertifikate im Umlauf sein seien nämlich nicht nur ein paar E-Mail-Postfächer in Gefahr. Auch die Glaubwürdigkeit der Verschlüsselung in eGouvernment-Angeboten und im Online-Banking stünde dann nämlich zur Debatte.
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
Foren Software Software Allgemein Jcorp Nomad: ein Self Hoste
d-hubs - 27.06. 14:34 Uhr -
Erweiterung Post-it für Firefox oder Chrome
System - 25.06. 17:53 Uhr -
Home Assistant OS 18.0 ++ 2 Mio Haushalte schon dabei
d-hubs - 24.06. 10:54 Uhr -
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - 20.06. 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - 19.06. 14:50 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen