Fraunhofer-Institut entdeckt SSL-Lücken in Android-Apps
Bei der Untersuchung von 2000 Android-Apps hat das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) bei einigen Fehler in der SSL-Implementierung entdeckt. Angreifer seien durch die Schwachstelle in der Lage gewesen, Zugangsdaten zu stehlen. Betroffen waren Anwendungen von mehr als 30 Unternehmen. Bislang haben erst 16 davon ein Update geliefert, das den Fehler beseitigt.
Sie sind in einer Liste (PDF) des Fraunhofer SIT aufgeführt. Darunter sind Programme von Google, Yahoo, Amazon, Samsung, Deutsche Telekom, E-Plus, Lidl und Tchibo. Auch die Banking-App der Volkswagen Financial Services prüfte demnach Sicherheitszertifikate nur unzureichend.
Die Schwachstelle entsteht dadurch, dass die eingesetzten Sicherheitszertifikate nicht ausreichend geprüft werden. “Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit”, erklärt Jens Heider vom Fraunhofer SIT in einer Pressemitteilung. Ohne korrekte Verschlüsselung des Datenverkehrs per SSL sei es möglich, beispielsweise beim Surfen über WLAN Zugangsdaten zu manipulieren. Dies sei bei unverschlüsselten öffentlichen Zugangspunkten in Hotels, Restaurants und Flughäfen besonders leicht.
“Das entstandene Sicherheitsrisiko für Nutzer ist abhängig vom jeweiligen Anwendungszweck: Bei mancher App droht lediglich die Manipulation der eigenen Foto-Bestände, im Falle einer Banking-App lassen sich hingegen die Zugangsdaten unter Umständen auch für unberechtigte Überweisungen oder andere Manipulationen des Bankkontos nutzen”, heißt es in der Pressemeldung. Ein besonders hohes Risiko bestehe bei Apps, die Single-Sign-On-Dienste von Google oder Microsoft verwendeten, da die Zugangsinformationen auch für eine Vielzahl von anderen Diensten wie E-Mail, Cloud-Speicher oder Instant Messaging gültig seien.
“Die Lücke ist prinzipiell ganz einfach zu schließen”, so Heider. Er und sein Team hätten die Hersteller schon vor Wochen informiert. Die Volkswagen Bank habe innerhalb eines Tages eine fehlerbereinigte Version zur Verfügung gestellt. “Dort, wo die gefundene Lücke beseitigt ist, sollten Nutzern die entsprechende App einfach aktualisieren”, rät Heider.
Fehler in der SSL-Implementierung sind unter Android-Apps weit verbreitet. Im Oktober 2012 hatten Forscher der Leibniz Universität Hannover und der Philipps-Universität Marburg bei einer Untersuchung von 13.000 Android-Anwendungen mehr als 1000 fehlerhafte Apps gefunden. Unter anderem war es ihnen gelungen, einer Antivirensoftware, die ebenfalls SSL verwendet, gefälschte Virendefinitionen unterzuschieben.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de