Sicherheitsforscher benennt hunderte Apps mit fehlerhafter SSL-Validierung

Die betroffenen Hersteller haben keine Vorwarnung erhalten. Sicherheitsforscher Will Dormann begründet das: Kenntnis anfälliger Apps vereinfacht Man-in-the-Middle-Angriffe keineswegs, erleichtert aber die Verteidigung gegen sie.

Ein Forscher hat ein häufiges Sicherheitsproblem in Apps angesprochen und die Namen hunderter Android-Anwendungen genannt, die in öffentlichen WLAN-Netzen für Informationsdiebstahl anfällig sind. Es handelt sich um eine ungenügende Validierung von SSL-Zertifikaten für Verbindungen per Secure HTTP (SSL/TLS).

(Bild: ZDNet.com)

Will Dormann von Computer Emergency Resource Team der US-Universität Carnegie Mellon zufolge befasst sich auch schon die Federal Trade Commission mit dem Problem. Sie habe zwei Firmen kontaktiert, deren Android- und iOS-Apps Daten angeblich verschlüsselt übertragen, die aber die Validierung von Zertifikaten abgestellt hatten. In einem öffentlichen WLAN wäre es aufgrund der Schwachstelle möglich, etwa Kreditkartendaten und Passwörter eines Anwenders auszuspionieren.

380 in Google Play und bei Amazon angebotene Apps zählt Dormann auf, darunter die Tastaur SwiftKey, μTorrent Remote, eine ganze Reihe Sicherheitsanwendungen sowie Apps für Onlinebanking, Dating, Karteneinkäufe und Spiele. Bei ihnen könnte eine Man-in-the-Middle-Attacke (MITM) ansetzen und alle Informationen abgreifen, die eigentlich für den Backbone-Server bestimmt waren. Für einen solchen Angriff muss sich der Hacker im gleichen lokalen Netz aufhalten, weshalb öffentliche Wi-Fi-Netze besonders gefährlich sind.

Das Problem ist grundsätzlich bekannt, was die Mängel umso ärgerlicher erscheinen lässt. Dormann räumt ein, dass Kolegen schon auf solche Probleme hingewiesen hätten, aber dabei versäumten, die Hersteller zu kontaktieren, oder gar keine Namen nannten.

Dormann selbst hat den App-Anbietern nicht einmal die branchenüblichen 45 Tage gelassen, um die Sicherheitslücken zu beheben, bevor er sie öffentlich bekannt machte. Dafür nennt er zwei Gründe. Erstens: „Wenn ein Angreifer MITM-Angriffe durchführen will, dann macht er das ohnehin schon. Wahrscheinlich hat er einen Rogue Access-Point aufgesetzt und fängt allen Traffic ab, der hindurchgeht.“ Eine Kenntnis betroffener Apps sei in diesem Fall kein Vorteil für den Angreifer.

Zweitens: „Wenn Endanwender anfällige Applikationen auf ihren Geräten haben, erleichtert es die Verteidigung, wenn man sie kennt. Anfällige Apps können deinstalliert werden, bis ein Fix verfügbar ist, oder wenn der Einsatz unbedingt erforderlich ist, kann man ihn auf vertrauenswürdige Netze beschränken.“

Anwendern, die ein von ihnen eingesetztes Programm auf Dormanns Liste finden, empfiehlt der Forscher, zur Mobil-Website des Angebots zu wechseln. „Viele Android-Anwendungen sind insofern unnötig, als ihre Inhalte auch auf andere Weise zugänglich sind. Zum Beispiel bietet eine Bank vielleicht eine Android-App an, aber genauso kann man in einem Webbrowser auf sie zugreifen. Wer den Browser nutzt, umgeht Situationen, in denen vielleicht keine SSL-Validierung stattfindet.“

Außerdem heißt es im Advisory auf CERT.org: „Vermeiden Sie nicht vertrauenswürdige Netze, darunter öffentliche WLANs. Setzen Sie Ihr Gerät in einem solchen Netz ein, erhöht das die Wahrscheinlichkeit, einer MITM-Attacke zum Opfer zu fallen.“

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Smartphone, Software, Verschlüsselung, iOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

15 Kommentare zu Sicherheitsforscher benennt hunderte Apps mit fehlerhafter SSL-Validierung

Kommentar hinzufügen
  • Am 5. September 2014 um 19:29 von Frage ...

    … zum besseren Verständnis: es wurden Android und iOS Apps geprüft, und nur bei 380 Android wurde dieser Experte fündig?

    Oder bezog sich Android/iOS auf die FTC Untersuchung, und der Experte hat nur bei Android geschaut?

  • Am 7. September 2014 um 21:35 von DerGanzNeutrale

    Er hat nur bei den Androiden geschaut. Bei IOS ist es unnötig da das system perfekt und sicher ist. Mir ist kein Fehler in IOS bekannt der nicht gewollt ist. Dieses Android dagegen ist ja an jeder stelle unsicher und hat nur bugs. Ist doch klar das es da so viele Fehler gibt, auch in Drittanbietern apps da muss Gockel unbedingt nach bessern.

    • Am 8. September 2014 um 10:28 von Nun

      Das mit der Neutralität muss noch geübt werden.

      Die Frage war ernst gemeint, eine polemische Antwort ist wenig hilfreich.

      Zumal solche Aussagen kein Apple-Anhänger behaupten würde. Warum auch, die sind meistens bestens über Probleme informiert.

      Solch undifferenzierter Unfug wird von Apple-Bashern gerne der Apple Fraktion (oder gleich Apple) in den Mund gelegt. Und dann geiern sie sich daran auf, wie blödsinnig solche Aussagen sind – zurecht. Man sollte sich dann aber auch ansehen, wer so einen Käse behauptet. Ein Blick in den Spiegel wäre hilfreich. ;-)

  • Am 8. September 2014 um 10:49 von weasel

    HA ha, die letzte große Lücke in icloud (mit der sich das iphone automatisch verbindet um ALLE deine Daten hochzuladen) ist dir wohl entfallen:
    http://www.heise.de/mac-and-i/meldung/Nach-Affaere-um-Promi-Nacktbilder-Hack-Apple-Aktie-schmiert-ab-2335471.html
    Vielleicht haben die iOS auch nicht geprüft weil deren Markanteil stetige sing (zuletzt unter 20%), von Windows Phone steht da ja auch nichts. Und Fire OS basiert auf Android. Wer in Öffentlichen WLAN Bankgeschäfte oder ähl. mach ist eh selber schuld.
    Kein System ist Perfekt und sicher.

    • Am 8. September 2014 um 11:25 von Hi, hi...

      „…(mit der sich das iphone automatisch verbindet um ALLE deine Daten hochzuladen)…“
      …was so pauschal eine Falschaussage ist, da die iCloud vom Anwender leicht komplett ausgeschaltet werden kann, respektive auch leicht zu differenzieren ist, welche Daten mit der iCloud synchronisiert werden.

  • Am 8. September 2014 um 12:37 von weasel

    „…ausgeschaltet werden kann…“ jaja (wie die Antwort der Apple Pressestelle), wenn man das den auch weiß, was deutlich weniger Menschen sind als man meinen möchte. Die meisten Menschen möchten doch einfach nur Ihren Namen eingeben, Telefonieren oder chatten und Bilchen machen, der Rest ist Ihnen egal. Deshalb laufen ja so viele Leute mit ständig aktivierten BT, GPS, WLAN etc. durch die Gegend, es ist Ihnen egal und Sie haben keine Ahnung. So wie viele nicht wissen, dass die E-Mail Adresse die Sie in Ihrem Win8 PC eingeben ein Konto bei MS anlegt was auch Daten sync, klar auch da ist ein Kopf zum Abstellen aber wer sucht nach sowas. Es soll einfach u. schnell gehen, komfortabel sein. Nur die allerwenigsten lesen Datenschutzbestimmungen oder Bedienungsanleitungen.
    Sicher Menschen die auf Websites wie dieser hier lesen, wissen so etwas, der Rest… da wäre ich vorsichtig.

    • Am 8. September 2014 um 14:11 von Hi, hi...

      …bei der Ersteinrichtung des iPhone wird man gefragt, ob die iCloud aktiviert werden soll oder nicht. Das ist keine Zauberei.
      Und die Einstellungen sind auf den iPhones sehr leicht zu erreichen und auch recht verständlich. Wenn sich die (prominenten) Nutzer nicht damit beschäftigen WOLLEN, ist Apple nicht gerade die komplette Schuld anzulasten.

      • Am 9. September 2014 um 12:41 von Ist das so?

        Ach? Sich mit einem System nicht beschäftigen wollen, was man aber offensichtlich sollte, ist also nicht Apple anzulasten?
        Mir dünkt da noch so eine Diskussion um Windows 8…. haben Sie da nicht krakehlt, dass Microsoft der Buhmann ist, weil man sich doch glatt 10 Minuten mal mit Windows 8 auseinandersetzen sollte?

        ;-) Tja, ja…. wie es halt gerade in die Argumentation passt. *smile*

        • Am 9. September 2014 um 13:31 von Hi, hi...


          1. Schrieb ich „nicht die _komplette_ Schuld“ und
          2. „Können Sie“ Ihren Vorwurf, ich hätte bei Windows 8 so etwas gesagt sicher durch den entsprechenen Link untermauern.

    • Am 8. September 2014 um 17:35 von Oh ...

      … bei Apple ist das an gut einsehbarer, und nicht versteckter Stelle EIN Schieberegler: ein/aus.

      Wenn das ’schwer‘ ist, dann dürften die Anwender bei Android ja schier verzweifeln, so versteckt ist das da. Und ohne Google geht fast nix. Au Backe! ;-)

      • Am 8. September 2014 um 19:30 von punisher

        Immer diese „ohne google geht fast nix“ Lüge…

  • Am 8. September 2014 um 19:01 von hamster

    apple-geräte und -dienstleistungen sind sicher … so naiv sind eben nicht nur die üblichen apple-kommischreiber. da legen die leute treudoof ihre sensiblen daten in apple´s hände und zack werden die daten „an dritte weitergegeben“. :D
    is süß, wenn der noname apple nicht die komplettschuld gibt.
    —–
    aber find ich nicht ganz schlecht. aufgrund der nacktfotos hat´s ja nun auch ein großes mediales echo verursacht. nur durch solche ereignisse werden manche nutzer wachgerüttelt, dass ein teures apfel-logo den gesunden menschenverstand nicht ersetzt.

  • Am 8. September 2014 um 22:01 von Judas Ischias

    Vielleicht ist die Einstellung zum abschalten der Cloud bei Apple gar nicht sooo einfach finden und zu bedienen? Das hat vielleicht gar nichts damit zu tun, dass sich die prominenten Nutzer nicht damit beschäftigen wollen. Jedenfalls habe ich bis jetzt noch keine Stellungnahme der Betroffenen dazu gelesen.
    Aber gewiss ist der Namenlose besser informiert, als die Masse der „normalen“ Leser, und wird uns doch bestimmt mitteilen woher er seine Infos bezieht? ;)
    Und ich finde dass die Einstellungen bei Android gar nicht schwer zu erreichen und zu bedienen sind! :-D
    Wenn ich ein neues Gerät habe ist die erste Handlung, Verlängerung der Laufzeit vom Display und dann geht es zu den Einstellungen die von mir unerwünscht sind.
    Und bis jetzt habe ich noch nie Probleme gehabt irgendetwas abzustellen oder einzurichten, was ich nicht wollte!

    • Am 9. September 2014 um 10:04 von Du meinst ...

      … in etwa so?

      Kirsten Dunst: „ich erkläre hiermit, dass es eine verdammt dumme Idee war, auf die E-Mail mit dem Titel „Nacktfotos von George Clooney“ zu öffnen, und auf den darin enthaltenen Link zu klicken. Hmm, meine Mail Adresse zu hinterlegen, war vielleicht auch nicht toll. Wäre an sich nicht so schlimm, aber ich hätte besser nicht Kirsten1 als Password nehmen sollen. Aber was sollte ich tun, ich wollte (!) nun mal an die Nacktbilder!“

      Ja, das Statement von ihr kommt ganz bestimmt noch. ;-)

      • Am 9. September 2014 um 11:45 von hamster

        aso, am pw lags also. tolle show noname LOL

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *