Android-Apps geben Nutzerdaten preis
Forscher der Universität Hannover und der Universität Marburg haben entdeckt, dass viele Android-Apps das Verschlüsselungsprotokoll SSL fehlerhaft implementieren. Das ermögliche Man-in-the-Middle-Angriffe, durch die sich Anmeldedaten für Facebook, Twitter und Google sowie Kreditkartendaten ausspähen lassen könnten.
Die Wissenschaftler seien in der Lage gewesen, entsprechende Informationen abzufangen, berichtet das britische Magazin The Register. Betroffen sind nach Angaben des Untersuchungsberichts mehr als 1000 von insgesamt 13.000 Android-Anwendungen, die die Forscher überprüft haben.
Außerdem ist es den Uni-Forschern offenbar gelungen, einer Antivirensoftware, die ebenfalls SSL verwendet, gefälschte Virendefinitionen unterzuschieben, um beliebige Apps als schädlich einzustufen oder den Virenschutz vollständig zu deaktivieren.
Das Problem beruhe darauf, dass Entwickler die SSL-Einstellungen, die das Android-API (Application Programming Interface) biete, falsch konfigurierten, so die Forscher. Beispiele seien Anwendungen, die grundsätzlich allen Zertifikaten vertrauten. Andere Apps wiederum seien so eingestellt, dass sie stets Zertifikate auch von einer anderen Domain als der des Herausgebers akzeptierten.
Andere Apps sind für das sogenannte SSL-Stripping anfällig. Es führt dazu, dass sich gesicherte HTTPS-Verbindungen in unverschlüsselte HTTP-Verbindungen umwandeln lassen. In einigen Fällen würden Nutzer auch nicht darüber informiert, ob eine Anwendung ihre Daten per SSL oder ungeschützt übertrage.
Die Forscher haben ein webbasiertes Tool namens “MalloDroid” entwickelt, das die SSL-Implementierung von Android-Apps überprüfen kann. Es soll der Allgemeinheit zur Verfügung gestellt auch als Bestandteil der Sicherheitsanwendung Androguard angeboten werden.
[Mit Material von Stefan Beiersmann, ZDNet.de]
<!– Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de. –>Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.