Mehr als 1200 verbreitete Android-Apps noch durch Freak-Lücke verwundbar

MobileMobile AppsMobile OSSicherheit
tracking-the-freak-attack (Screenshot: ZDNet.de)

FireEye hat eine Untersuchung durchgeführt, um herauszufinden, wie viele Android- und iOS-Apps noch ungepatcht und nach wie vor anfällig für die Freak-Lücke sind. Das Ergebnis: Unter den verbreitetsten Android-Apps in Google Play fanden sich insgesamt 1228 von der Schwachstelle betroffene Anwendungen. Auch unter iOS gibt es weiterhin verwundbare Apps, obwohl Apple das Freak-Leck mit iOS 8.2 eigentlich beseitigt hat.

tracking-the-freak-attack (Screenshot: ZDNet.de)
freakattack.com (Screenshot: ZDNet.de)

FireEye setzt für seine Statistiken zwei Stichtage an, nämlich 4. und 10. März. Am 4. März waren sowohl Android als auch iOS noch von der Freak-Schwachstelle betroffen, bis 10. März hatten beide OS-Hersteller die Lücke mit der neuesten Version geschlossen. Laut den Zahlen von FireEye wurden im gleichen Zeitraum jedoch vergleichsweise wenige Apps gepatcht.

Insgesamt 10.985 Android-Apps mit jeweils mindestens einer Million Downloads wurden überprüft. 11,2 Prozent waren demach noch verwundbar, da sie “eine anfällige OpenSSL-Library nutzen, um sich mit anfälligen HTTPS-Servern zu verbinden”. Jene 1228 Anwendungen entsprechen zusammengenommen 6,3 Milliarden Downloads. 664 Programme verwenden eine von Android bereitgestellte OpenSSL-Bibliothek, 554 eine selbst kompilierte.

Unter iOS waren es laut FireEye 771 von 14.079 untersuchten Apps, die mit angreifbaren Diensten kommunizieren und somit selbst verwundbar sind, wenn sie unter einer älteren iOS-Version als 8.2 genutzt werden. Sieben dieser 771 Apple-Anwendungen bringen eine eigene Version von OpenSSL mit und sind somit auch unter iOS 8.2 noch anfällig.

FireEye skizziert in seinem Blogbeitrag auch, wie eine Attacke vonstatten gehen könnte: “Ein Angreifer kann eine Freak-Attacke mit Man-in-the-Middle-Technik starten, um verschlüsselten Traffic zwischen der Mobil-App und dem Backend-Server abzufangen und zu modifizieren. Dazu kann er bekannte Techniken wie ARP-Spoofing und DNS-Hijacking nutzen. Er muss auch nicht unbedingt die Verschlüsselung in Echtzeit knacken, sondern kann verschlüsselten Netzwerktraffic aufzeichnen, später entschlüsseln und auf die enthaltenen privaten Daten zugreifen.”

Demnach wäre es etwa möglich, eine Shopping-App zu attackieren, um an Kreditkartendaten einschließlich der PIN zu gelangen. Als besonders kritisch betrachten die Forscher auch anfällige Medizin- und Gesundheits-Apps, Produktivitäts-Apps sowie Finanz-Apps.

Freak ist eine über zehn Jahre alte kryptografische Schwachstelle. Ein Forscherteam in Paris hat sie unter der Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria, entdeckt. Der Name “Freak” ist ein Akronym für “Factoring Attack on RSA-Export Keys”. Es bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien untersagte und “schwächere” Export-Produkte für Kunden in anderen Ländern anordnete.

Diese Limitierungen seien Ende der Neunzigerjahre zwar aufgehoben worden, die schwache Verschlüsselung finde sich jedoch immer noch in zahlreichen Anwendungen, die teilweise unbemerkt auch ihren Weg zurück in die USA gefunden hätten, erläuterten die Pariser Forscher. Nach eigenen Angaben war es ihnen gelungen, Browser wie Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung einzusetzen. Diese hätten sie dann innerhalb weniger Stunden geknackt und seien anschließend in der Lage gewesen, persönliche Daten und Passwörter abzugreifen.

Das weitaus wichtigste Programm auf jedem System, um sich vor Freak-Attacken zu schützen, ist der Browser. Die ITespresso-Schwestersite ZDNet informiert in Form einer regelmäßig aktualisierten Tabelle, welche Mobil- und auch Desktop-Browser noch anfällig für Freak-Attacken sind.

freak-verwundbare-apps-android (Diagramm: FireEye)
OpenSSL-Lücke Freak: Lediglich ein kleiner Anteil anfälliger Apps wurde zwischen 5. und 10. März gepatcht (Diagramm: FireEye).

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen