Gefälschte SSL-Zertifikate auf Reiseflughöhe
Eine Google-Mitarbeiterin hat den In-Flight-Internetdienst Gogo dabei erwischt, wie er ihr ein gefälschtes SSL-Zertifikat untergeschoben hat. Gogo behauptet, die Maßnahme werde angewendet, um Video-Streaming über den Wolken unter Kontrolle zu halten.
- Fabian A. Scherschel
Eine Google-Sicherheitsforscherin hat auf einem Flug entdeckt, dass der In-Flight-Internetdienst Gogo gefälschte SSL-Zertifikate für bestimmte Webseiten verteilt. Beim Aufrufen von YouTube bekam sie ein Zertifikat ausgehändigt, das nicht von Googles CA sondern von Gogo ausgestellt wurde. Gogo wird von vielen US-Airlines verwendet, um Internet auf Langstreckenflügen zur Verfügung zu stellen.
Mit einem Man-in-the-Middle-Angriff wie ihn die Google-Forscherin beobachtete, kann der Anbieter den eigentlich als sicher geltenden HTTPS-Datenverkehr mitschreiben. Gogo-Technikchef Anand Chari sagte gegenüber US-Magazin Fast Company, man wende die Technik an, um Video-Streaming zu drosseln oder zu blocken – Nutzerdaten würden nicht gespeichert. Allerdings brüstete sich der Gogo-Ableger Aircell bereits 2009 damit, dass der Dienst mehr Informationen an Strafverfolgungsbehörden weitergeben kann, als vom Gesetz verlangt wird.
SSL bereitet logistische Probleme
SSL/TLS-Traffic stellt viele Anbieter von Internetdiensten in Flugzeugen vor Probleme, da sich diese Art von Daten nur schwer untersuchen lassen und schlecht zwischenzuspeichern ist. Auf Grund der begrenzten Bandbreite bei In-Flight-Internet cachen die Dienste in der Regel so viele Inhalte wie möglich. Ein Video, das einmal im Zwischenspeicher an Bord liegt, muss nicht mehrmals über die schmale Bandbreite der Satelliten-Antenne geschoben werden.
Andere Anbieter von In-Flight-Internet blocken HTTPS-Verbindungen von Grund auf. Eine solche Lösung ist für Nutzer sicherlich störender, da bestimmte Seiten, die ausschließlich SSL-Verbindungen akzeptieren, dann nicht mehr funktionieren. (fab)