1990 gab es in den USA ein Gesetz, dass das exportieren starker Verschlüsselungen verbot. Deshalb durfte in Software nur unsichere Verschlüsselungsmechanismen genutzt werden. Diese offensichtliche Lücke ist immer noch erschreckend weit verbreitet.
Die FREAK-Lücke schockiert insofern, dass die Lücke vor 25 Jahren absichtlich geschaffen wurde und seither nicht mehr entfernt wurde. Android, Blackberry, Google Chrome, Internet Explorer, Opera und Safari sind oder waren angreifbar. Einzig Firefox hat diese Lücke schon lange vor dem Bekanntwerden geschlossen.
FREAK zeigt nach POODLE einmal mehr, dass es nicht nur wichtig ist, starke Verschlüsselung zu unterstützten, sondern auch veraltete frühzeitig zu entfernen. Leider wird mit Sicherheit genau das Selbe Problem bei der kommenden Lücke in RC4 wieder zum Verhängnis werden.
Unverständlich, dass dies sogar bei dem hoch sensiblen Bereich des online Banking der Fall ist:
Update:
Ähnlich der FREAK Lücke gibt es auch die Logjam Lücke. Dort wird ausgenutzt, dass falsch konfigurierte Server keinen oder einen sehr schwachen Parameter für die Diffie-Hellman Schlüssel setzten. Damit ist die effektive Sicherheit der Verbindung so schwach, dass diese mit realistischem Aufwand entschlüsselt werden kann.
Angreifbar sind und waren alle Server, deren Admins oder Entwickler sich nicht an die empfohlene Mindestlänge für die Parameter gehalten haben.