SSL fehlerhaft: Android-Apps geben Nutzerdaten preis

MobileMobile OSSicherheitSicherheitsmanagement

Durch den Bug in der SSL-Implementierung sind Apps anfällig für Man-in-the-Middle-Angriffe. So lassen sich Anmeldedaten und Kreditkartendaten ausspähen. Laut Sicherheitsforschern der Leibniz-Universität Hannover und der Philipps-Universität Marburg lassen sich einer Antivirensoftware sogar gefälschte Definitionen unterschieben.

Forscher der Leibniz-Universität Hannover und der Philipps-Universität Marburg haben festgestellt, dass viele Android-Apps das Verschlüsselungsprotokoll SSL (Secure Socket Layer) fehlerhaft implementieren. Dadurch sind die Apps anfällig für Man-in-the-Middle-Angriffe. Wie The Register berichtet, waren die Forscher unter anderem in der Lage, Anmeldedaten für Facebook, Twitter, Google, Microsoft, WordPress und beliebige E-Mail-Konten sowie Kreditkarten- und Kontodaten abzufangen.

Diese Aussage trifft ihrem Untersuchungsbericht (PDF) zufolge auf mehr als 1000 von 13.000 Anwendungen für Googles Mobilbetriebssystem zu, die die Forscher überprüft haben. Außerdem ist es ihnen offenbar gelungen, einer Antivirensoftware, die ebenfalls SSL verwendet, gefälschte Virendefinitionen unterzuschieben, um beliebige Apps als schädlich einzustufen oder den Virenschutz vollständig zu deaktivieren.

Das Problem beruhe darauf, dass Entwickler die SSL-Einstellungen, die das Android-API (Application Programming Interface) biete, falsch konfigurierten, so die Forscher. Beispiele seien Anwendungen, die grundsätzlich allen Zertifikaten vertrauten. Andere Apps wiederum seien so eingestellt, dass sie stets Zertifikate auch von einer anderen Domain als der des Herausgebers akzeptierten.

Andere Apps sind für das sogenannte SSL-Stripping anfällig. Es führt dazu, dass sich gesicherte HTTPS-Verbindungen in unverschlüsselte HTTP-Verbindungen umwandeln lassen. In einigen Fällen würden Nutzer auch nicht darüber informiert, ob eine Anwendung ihre Daten per SSL oder ungeschützt übertrage.

Die Forscher haben ein webbasiertes Tool namens “MalloDroid” entwickelt, das die SSL-Implementierung von Android-Apps überprüfen kann. Es soll der Allgemeinheit zur Verfügung gestellt auch als Bestandteil der Sicherheitsanwendung Androguard angeboten werden.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.