Besonders bei Anwendungen, die Passwörter oder Bankdaten übermitteln, können kriminelle Angreifer die bekannte Freak-Schwachstelle ausnutzen.
Nach einer Untersuchung des IT-Sicherheitsunternehmens Fireeye sind 1.228 von 10.985 Android-Apps mit mehr als einer Million Downloads und auch 771 der 14.079 populärsten iOS-Apps betroffen.
Die Freak-Schwachstelle gehen davon aus, dass sowohl die App als auch der Server, mit dem die Anwendung eine verschlüsselte Verbindung aufbaut, den uralten und unsicheren Export-Verschlüsselungsalgorithmus in TLS immer noch nutzen.
In diesen Fällen können Angreifer zum Beispiel in öffentlichen WLANs speziell dafür präparierte Pakete an den Server schicken, mit dem sich eine App verbinden will, und dadurch eine Verbindung mit dem schwachen und leicht knackbaren temporären 512-Bit-RSA-Schlüssel im Export-Modus erzwingen.