Frankfurt, 16. Februar 2017

Auf Anfragen von unseren Nutzern, die zugleich Nutzer von Banking-Apps mit Protokoll SSL v.2 sind, teilen wir Folgendes mit:

Aufgrund der vielen Sicherheitslücken in SSL v.2 ist die Nutzung dieses Protokolls sowie die Nutzung von Apps, die dieses Protokoll verwenden, nicht sicher.

Bei der Verwendung dieses Protokolls sind MITM-Angriffe (zu engl.: man in the middle) sowie Angriffe, die eine Datenübertragung anpassen können, möglich. Der in SSL v.2 verwendete Hashing-Algorithmus MD5 ist gefährdet und nicht empfehlenswert.

Dass die Version 2 des SSL-Protokolls unsicher ist, ist seit 1996 bekannt. Deshalb wurde es durch SSL v.3 ausgetauscht. Auch hier ist jedoch die Sicherheitslücke CVE-2014-3566 entdeckt worden. Das Protokoll SSL v.2 ist seit 2011 gemäß der Zertifizierung RFC 6176 veraltet. Alle Dr.Web Nutzer wurden darüber rechtzeitig informiert.

Anfragen an den technischen Support von Doctor Web konnten wir entnehmen, dass Banking-Apps einiger russischer Banken immer noch das veraltete Protokoll SSL v.2 benutzen. Mitarbeiter solcher Banken haben Dr.Web Nutzern sogar empfohlen, Dr.Web Virenschutzsoftware zu löschen und so Geldmittel ihrer eigenen Kunden gefährdet.

Wir von Doctor Web empfehlen Ihnen, alle unsicheren Apps regelmäßig zu aktualisieren. Wenn eine App nicht aktualisiert werden kann, können Anwender die Nutzung der App (und ein unsicheres Protokoll) in den Einstellungen von Dr.Web freigeben.

Wenn Ihr Unternehmen eine Banking-App nutzen möchte, fragen Sie bei Ihrer Bank nach, welches Protokoll in der Banking-App verwendet wird. Wenn in der App Protokolle wie SSL v.2 oder SSL v.3 verwendet werden, stoppen Sie die Nutzung der App.

Die empfohlenen Protokolle sind TLS v.1 und höher.