Fraunhofer: SSL-Lücke macht Android-Apps unsicher

Fraunhofer SIT warnt vor unsicheren SSL-Implementierungen in Android-Apps. Quelle: Cnet

Zahlreiche Android-Apps leiden an einer Sicherheitslücke, die durch die unsichere Implementierung eines SSL-Zertifikats entsteht. Das Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat insgesamt 2000 Android-Apps untersucht. Über diese Schwachstelle konnten Angreifer Zugangsdaten stehlen, teilt SIT mit. Von dem Fehler sollen Anwendungen von mehr als 30 Unternehmen betroffen sein. Bislang haben sollen laut SIT aber erst erst 16 mit einem Update reagiert haben (PDF).

Das Leck entstehe durch eine unzureichende Prüfung der eingesetzten Sicherheitszertifikate. “Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit”, so Jens Heider vom Fraunhofer SIT in einer Pressemitteilung. Ohne eine korrekte Verschlüsselung des Datenverkehrs per SSL sei es möglich, Zugangsdaten beispielsweise beim Surfen über WLAN zu manipulieren. Vor allem in öffentlichen Zugangspunkten wie Hotels, Restaurants oder Flughäfen sei das Leck besonders einfach auszunutzen.

Zu den fehlerhaften Apps gehören auch viele Anwendungen namhafter Anbieter. Auf der Website des Fraunhofer SIT findet sich allerdings nur eine Liste mit den bereits gepatchten Apps. Darunter sind Programme von Google, Yahoo, Amazon, Samsung, Deutsche Telekom, E-Plus, Lidl und Tchibo. Auch die Banking-App der Volkswagen Financial Services prüfte demnach Sicherheitszertifikate nur unzureichend.

“Das entstandene Sicherheitsrisiko für Nutzer ist abhängig vom jeweiligen Anwendungszweck: Bei mancher App droht lediglich die Manipulation der eigenen Foto-Bestände, im Falle einer Banking-App lassen sich hingegen die Zugangsdaten unter Umständen auch für unberechtigte Überweisungen oder andere Manipulationen des Bankkontos nutzen”, so SIT. Ein besonders hohes Risiko bestehe bei Apps, die Single-Sign-On-Dienste von Google oder Microsoft verwendeten, da die Zugangsinformationen auch für eine Vielzahl von anderen Diensten wie E-Mail, Cloud-Speicher oder Instant Messaging gültig seien.

“Die Lücke ist prinzipiell ganz einfach zu schließen”, ergänzte Heider. Er und sein Team hätten die Hersteller schon vor Wochen informiert. Die Volkswagen Bank habe innerhalb eines Tages eine fehlerbereinigte Version zur Verfügung gestellt. “Dort, wo die gefundene Lücke beseitigt ist, sollten Nutzern die entsprechende App einfach aktualisieren.” Grundsätzlich rät das Fraunhofer SIT zu einer vorsichtigen Nutzung von Apps in öffentlichen WLAN-Netzen.

Fehler in der SSL-Implementierung sind Android-Apps weit verbreitet. Im Oktober 2012 hatten Forscher der Leibniz Universität Hannover und der Philipps-Universität Marburg bei einer Untersuchung von 13.000 Android-Anwendungen mehr als 1000 fehlerhafte Apps gefunden. Unter anderem war es ihnen gelungen, einer Antivirensoftware, die ebenfalls SSL verwendet, gefälschte Virendefinitionen unterzuschieben.

Im September 2013 behob Facebook einen Fehler in der Android-App, der dazu führte, dass die Anwendung trotz aktivierter Verschlüsselung nicht per sicherem HTTPS mit den Servern des Social Network kommunizierte. Dem Entdecker der Lücke zahlte das Unternehmen eine Belohnung von 2000 Dollar.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago