Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Internetzugang im Flugzeug: Google-Expertin entdeckt gefälschtes SSL-Zertifikat

Gogo-Logo: Die Firma ermöglicht es, im Flugzeug ins Netz zu gehen Zur Großansicht
Gogo

Gogo-Logo: Die Firma ermöglicht es, im Flugzeug ins Netz zu gehen

Sicherheitsrisiko über den Wolken: Der Provider Gogo liefert anscheinend mit Absicht gefälschte SSL-Zertifikate aus, wenn Flugpassagiere im Internet surfen. Das US-Unternehmen sieht darin kein Problem.

Die Google-Sicherheitsexpertin Adrienne Porter Felt hat auf einer Flugreise eine beunruhigende Entdeckung gemacht: Als sie routinemäßig das SSL-Protokoll von YouTube überprüfte, stellte sie fest, dass es nicht mit Googles Zertifikat auf ihr Smartphone ausgeliefert wurde, sondern mit einem offensichtlich gefälschten. Die herausgebende Organisation: Gogo, jener Provider, der das Bordinternet auf einem Großteil der amerikanischen Flüge und auf vielen internationalen Verbindungen bereitstellt.

Für die Darstellung wird Javascript benötigt.

SSL ist ein Internet-Sicherheitsprotokoll, das eine verschlüsselte Verbindung zwischen einem Server und dem Client herstellt. Mit ihm können sensible Informationen wie Kreditkartennummern oder Log-in-Daten sicher übermittelt werden. Mit einem gefälschten Zertifikat lässt sich ein sogenannter Man-in-the-Middle-Angriff durchführen, über den sich persönliche Daten und Passwörter abgreifen lassen. Versucht Gogo, die Passagiere seiner Partner-Airlines aktiv auszuspionieren?

"Keine Nutzer-Informationen werden gespeichert"

Das US-Magazin "Fast Company" erhielt auf Anfrage ein Statement vom Gogo-Technikchef Anand Chari: "Gogo arbeitet daran, mehr Bandbreite in die Flugzeuge zu bringen. Bis wir das erreicht haben, werden wir verschiedene Video-Streaming-Seiten blockieren, und wir nutzen verschiedene Techniken, um Video-Streaming zu begrenzen. Welche Technik wir auch immer nutzen, sie wird sich nicht auf die allgemeine Internet-Sicherheit auswirken."

Das Unternehmen - laut "Fast Company" der weltweit größte Anbieter von Internet-Diensten auf Flugreisen - macht nicht zum ersten Mal Negativschlagzeilen. Im April 2014 wurde durch eine Veröffentlichung der US-Medienaufsichtsbehörde FCC bekannt, dass Gogo in seine Dienste Funktionen für die Strafverfolgung implementiert, die über das hinausgehen, was in dem Gesetzeswerk Communications Assistance for Law Enforcement Act (CALEA) vorgesehen ist.

Die Gogo-Abteilung Aircell prahlte schon 2009 in einem Handelsmagazin, sie könne den Strafverfolgungsbehörden "jede Art von Information in Echtzeit" übermitteln - eine Art "Super-CALEA".

Vor diesem Hintergrund wirkt das Versprechen von Anand Chari nur bedingt glaubwürdig: "Wir versprechen unseren Kunden, dass keine Nutzerinformationen gespeichert werden, wenn wir diese Techniken nutzen". Laut "Fast Company" hat sich Google direkt an Gogo gewendet, um die Angelegenheit mit dem gefälschten Zertifikat auf höherer Ebene zu klären.

abr

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 20 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Hpkp
sumpremerulerxenu 06.01.2015
Das noch nicht 100%ig ausgearbeitete, aber dennoch einsetzbare HTTP Public Key Pinning (HPKP - https://tools.ietf.org/html/draft-ietf-websec-key-pinning-21) dürfte hier Abhilfe schaffen, oder sehe ich das falsch? Vorausgesetzt man hat die Seite schonmal besucht, bevor einem ein gefälschtes Zertifikat untergejubelt wird (was bei youtube wohl angenommen werden kann). Bei meinem eigenen kleinen VPS habe ich es interessehalber implementiert und es funktioniert wunderbar.
2. Ahjo
Leser161 06.01.2015
Ach, solange es keiner merkt und man Profit macht und man sich hinterher rausreden kann, kann man es ja machen. Und das ist eh alles viel zu kompliziert für die kleinen Leute. Und ausserdem ist es ja zu deren Bestem. Irgendwie. Spitzenhaltung. Und keiner tut was dagegen. Erst recht nicht die Politik. Da ist es nämlich genauso. Und da wundern sich die Politiker, wenn die Bürger irgendwelchen Rattenfängern hinterherlaufen.
3. Naja
zauselfritz 06.01.2015
Zumindest die gefälschten Google Zertifikate werden schnell verschwinden - sonst verschwindet gogo im Bauch von Google. Passt sowieso ins Beuteschema des Riesen.
4. NSA Schnüffler und andere Schleimer
h_harz 06.01.2015
Wie nett, aber leider nicht unbedingt überraschend. Seit Snwoden bekommt man zumindest eine Idee, was die da so alles treiben und können, wen wundert es da noch, wenn sie eine Amerikanische Firma augenscheinlich Wettbewerbsvorteile verschafft, indem sie Passagiere ausschnüffelt? Macht sich doch sicher gut in der Ausschreibung bezüglich Ausstattung von Flugzeugen mit Internetzugang oder? Wen interessieren noch Privatsphäre oder Begriffe wie Anstand und Moral? Das unserer Regierung das vollkommen Wurst ist, wissen wir ja, seit Herr Pofalla(?) die Affäre für beendet erklärt hat. Reiner Machterhalt und immer schön den Amerikanern in den Allerwertesten kriechen. Daimler stellt alle Angestellten unter generellen Terrorismus Verdacht und keinen stört es. Jeder surft und mailt einfach unverschlüsselt weiter wie es ihm beliebt. Im Flugzeug und nicht nur da, auch in vielen Firmen, werden heimlich, still und leise gefälschte oder eigene Zertifikate untergeschoben um den Leuten in die Browser Sessions schauen zu können. Die übliche Ausrede der sogenannten Security Leute, warum man so was braucht ist, dass man verschlüsselten Content nicht zuverlässig auf Schadprogramme etc. untersuchen kann. ...die es fast ausschließlich für ein bestimmtes Betriebssystem einer bestimmten Firma gibt. Der normale User kann so etwas nicht nachprüfen, Admininstratoren haben Geheimhaltungsklauseln im Vertrag... alles nur zu unserem besten. Mir fällt dazu nur noch ein Zitat von Max Liebermann ein: "Ich kann gar nicht so viel fressen, wie ich kotzen möchte"
5. Ah Ja ...
ratem 06.01.2015
Gogo waere die erste amerikanische Firma, die nicht (notgedrungen) luegt, um ihre Zusammenarbeit mitder NSA zu vertuschen. Wennein gefaelschtes SSL Zertifikatausgeliefert wird, sitzin der Mitte ein Betrueger. Ende der Geschichte. Das sollte jedem, der SSL als Verschluesselung nutzt klar sein. Wer die Verbindung trotzm nutzt, koenntedies genauso gutgleich in Klartext tun. Die Sicherheit ist jedenfalls dahin.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.



Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: