Fraunhofer-Institut warnt vor SSL-Lücken in Android-Apps

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat bei der Analyse von 2000 Android-Apps bei einigen Programmen Fehler in der SSL-Implementierung entdeckt. Angreifer seien mithilfe der Schwachstelle in der Lage gewesen, Zugangsdaten zu stehlen, heißt es. Davon betroffen waren Anwendungen von mehr als 30 Unternehmen. Bislang haben erst 16 davon mit einem Update reagiert (PDF), das den Fehler beseitigt.

Die Anfälligkeit an sich beruht demnach auf einer mangelnden Prüfung der eingesetzten Sicherheitszertifikate. „Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit“, wird Jens Heider vom Fraunhofer SIT in einer Pressemitteilung zitiert. Ohne eine korrekte Verschlüsselung des Datenverkehrs per SSL sei es möglich, Zugangsdaten beispielsweise beim Surfen über WLAN zu manipulieren. Dies sei bei unverschlüsselten öffentlichen Zugangspunkten in Hotels, Restaurants und Flughäfen besonders leicht.

Zu den fehlerhaften Apps gehören auch viele Anwendungen namhafter Anbieter. Auf der Website des Fraunhofer SIT findet sich allerdings nur eine Liste mit den bereits gepatchten Apps. Darunter sind Programme von Google, Yahoo, Amazon, Samsung, Deutsche Telekom, E-Plus, Lidl und Tchibo. Auch die Banking-App der Volkswagen Financial Services prüfte demnach Sicherheitszertifikate nur unzureichend.

„Das entstandene Sicherheitsrisiko für Nutzer ist abhängig vom jeweiligen Anwendungszweck: Bei mancher App droht lediglich die Manipulation der eigenen Foto-Bestände, im Falle einer Banking-App lassen sich hingegen die Zugangsdaten unter Umständen auch für unberechtigte Überweisungen oder andere Manipulationen des Bankkontos nutzen“, heißt es weiter in der Pressemeldung. Ein besonders hohes Risiko bestehe bei Apps, die Single-Sign-On-Dienste von Google oder Microsoft verwendeten, da die Zugangsinformationen auch für eine Vielzahl von anderen Diensten wie E-Mail, Cloud-Speicher oder Instant Messaging gültig seien.

„Die Lücke ist prinzipiell ganz einfach zu schließen“, ergänzte Heider. Er und sein Team hätten die Hersteller schon vor Wochen informiert. Die Volkswagen Bank habe innerhalb eines Tages eine fehlerbereinigte Version zur Verfügung gestellt. „Dort, wo die gefundene Lücke beseitigt ist, sollten Nutzern die entsprechende App einfach aktualisieren.“ Grundsätzlich rät das Fraunhofer SIT zu einer vorsichtigen Nutzung von Apps in öffentlichen WLAN-Netzen.

Fehler in der SSL-Implementierung sind unter Android-Apps leider weit verbreitet. Im Oktober 2012 hatten Forscher der Leibniz Universität Hannover und der Philipps-Universität Marburg bei einer Untersuchung von 13.000 Android-Anwendungen mehr als 1000 fehlerhafte Apps gefunden. Unter anderem war es ihnen gelungen, einer Antivirensoftware, die ebenfalls SSL verwendet, gefälschte Virendefinitionen unterzuschieben.

Im September 2013 behob Facebook einen Fehler in seiner Android-App, der dazu führte, dass die Anwendung trotz aktivierter Verschlüsselung nicht per sicherem HTTPS mit den Servern des Social Network kommunizierte. Dem Entdecker der Lücke zahlte das Unternehmen eine Belohnung von 2000 Dollar.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google veröffentlicht neues Sicherheitsupdate für Chrome

Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…

4 Stunden ago

Digitale Souveränität: ein essenzieller Erfolgsfaktor für Unternehmen

Mit der zunehmenden computerbasierten und globalen Vernetzung gewinnt die digitale Souveränität an rasanter Bedeutung. Viele…

5 Stunden ago

Google schließt kritische Sicherheitslücke in Android 14

Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.

21 Stunden ago

IT Sicherheit: digitale Angriffe sicher abwehren

IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen

1 Tag ago

Bestverkaufte Smartphones: Apple und Samsung dominieren

Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…

1 Tag ago

Google: Passkeys schützen mehr als 400 Millionen Google-Konten

Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…

2 Tagen ago