Anfang dieser Woche, hat ein Team von Forschern eine riesige Sicherheitslücke entdeckt, die sie auf den Namen FREAK getauft haben, und die sichere Internetverbindungen gefährden und vertrauliche Informationen bloßlegen könnte. Die Bedrohung dieser Sicherheitslücke bezieht sich zwar nicht auf LastPass, es wird den Benutzern trotzdem empfohlen ihre Browsers upzudaten sobald die nötigen Patches zur Verfügung kommen. Die wichtigsten Details im Überblick:
Was ist die FREAK-Lücke?
Die FREAK-Lücke beeinflusst SSL/TLS, das Protokoll das eine sichere Verbindung zwischen Ihnen und einer Website erstellt. Die sichere Verbindung ist aktiv wenn Sie Verbindung machen mit HTTPS und Sie ein Vorhängeschloss in der Adressleiste Ihres Browsers sehen. Dieses "Schloss" heißt, dass Ihre persönlichen Daten verschlüsselt an die Website gesendet werden.
FREAK, jedoch, kann mittels einer Man-in-the-middle-Attacke ausgenutzt werden, um verschlüsselte Daten auszuspähen. Laut
freakattack.com, “Stellt sie einen Angreifer in die Lage HTTPS-Verbindungen zwischen ungeschützten Geräten und Servern abzufangen und sie zu zwingen eine schwächere Verschlüsselung zu verwenden, die der Angreifer nachher brechen kann und somit empfindliche Daten klauen oder ändern kann.”
Die FREAK-Lücke beeinflusst die meisten üblichen Browsers:
- Internet Explorer
- Chrome für Android und Mac – Patch verfügbar für Mac
- Safari für Mac und iOS – Patch wahrscheinlich nächste Woche verfügbar
- Stock Android Browser
- BlackBerry Browser
- Opera (Mac, Linux)
Sie können selbst herausfinden, ob Ihr Gerät und Ihren Browser gefährdet sind, indem Sie die folgende Website abrufen:
https://freakattack.com. Dort finden Sie auch eine Liste mit
Alexa’s Top Domains die von FREAK gefährdet sind.
Wie wird LastPass davon beeinflusst?
LastPass-Benutzer werden nicht gefährdet. Unsere Server sind nicht von der FREAK-Lücke betroffen. Selbstverständlich, ist Ihr LastPass-Tresor sicher, und wird Ihr Master-Password nie übermittelt. Dazu verschlüsselt LastPass alle Ihre Daten zuerst auf Ihrem eigenen Gerät mittels AES-256, bevor sie verschickt werden. Sicherheitslücken wie diese sind genau der Grund weshalb wir nie Ihr Master-Password verschicken.
Für diejenigen, die die integrierten Browsers in mobilen LastPass-Apps benutzen, werden die Standardbrowsers des Betriebssystems verwendet, von denen wir jetzt wissen, dass sie gefährdet sind. Unsere integrierten Browsers werden upgedatet sobald die jeweiligen Betriebssysteme eine Lösung zur Verfügung gestellt haben. In the meantime, können Sie sicher browsen mit Firefox Mobile.
Communication between our mobile apps themselves and our servers are not vulnerable, meaning it is not possible to intercept your vault data going to and from our servers on those mobile devices.
Actions you should take:
Update with all patches when available. Microsoft, Apple, and Google will all be releasing patches within the next few days, so it’s critical to update your system when those patches are available.
Use Firefox to browse securely. Until patches are available for the above affected browsers, you may want to use Firefox on iOS, Android, and Mac OS to securely browse the web and connect to your online accounts.
Replace vulnerable passwords. Though it’s unlikely that you were attacked, as devices and websites are patched it may be a good time to change the passwords to any accounts accessed on any of your devices shown to be vulnerable. You can also use the
LastPass-Sicherheitsüberprüfung to review the strength of your passwords. Unsere
Automatische Passwortänderung feature will also help you replace passwords automatically. It’s important to use a different, strong password on every website, so that a password stolen from one website can’t be used to login to any of your other accounts.
Selbstverständlich, we’ll monitor the situation as it unfolds and update our community as needed.
