Experte: Moderne Browser anfällig für Phishing-Angriffe
Der Administrator und Sicherheitsexperte Nils Toedtmann hat in einem Posting auf Phishing-Schwachstellen in Mozilla-basierten Browsern - prominentester Vertreter ist Firefox -, aber auch im Linux-Browser Konquerer, im Apple-Browser Safari 2 und in Opera, hingewiesen. Demnach akzeptieren moderne Browser bei X.509-Zertifikaten intern mehr als einen Domain-Namen, zeigen dem Nutzer jedoch nur einen Domain-Namen an. X.509-Zertifikate werden neben der Identifikation gegenüber Webseiten, beispielsweise beim Online-Banking mit SSL (Secure Socket Layer), unter anderem zur sicheren Übertragung von E-Mails oder Dateien verwendet. Akzeptiert der Nutzer auch nur einmal manuell ein Zertifikat einer dem Browser unbekannten Zertifzierungsstelle, sei der Browser zukünftig für das Spoofing (Verschleierung) von Zertifikaten anfällig und erkenne gefälschte Zertifikate nicht mehr.
Über verschiedene Angriffsmethoden wie DNS-Spoofing, Domain Name Hijacking oder Man-in-The-Middle-Angriffe können Browser auf Web-Server von Internet-Betrügern umgeleitet werden. Hier seien die X.509-Zertifikate eine "zusätzliche Verteidigungslinie" gegen Phishing-Angriffe, da die Phishing-Betrüger den TLS-(Transport Layer Security)-Handshake mit dem Original-Zertifikat nicht vortäuschen könnten. Diese Verteidigungslinie halte jedoch nur Stand, wenn Browser und Nutzer korrekt mit Zertifikaten umgehen.
Entwickler unterschätzen die Gefährlichkeit der Bedrohung
Toedtmann zufolge sei es deshalb zur Verhinderung dieses Angriffsszenarios unerlässlich, Zertifikate unbekannter Zertifizierungsstellen, die eine Nutzer-Zustimmung erfordern, mit dem Host-Namen, der dieses Zertifikat anbietet, zu verbinden. Die sei jedoch bei den genannten Browsern nicht der Fall. Toedtmann erklärt, diese Schwachstelle werde bei Mozilla zwar schon seit Jahren diskutiert. Die Entwickler würden aber offenbar die Gefährlichkeit dieser Bedrohung entweder unterschätzen oder ignorieren. Sein Posting sei also kein Advisory, sondern eine Rüge.