FireEye: Über 1200 beliebte Android-Apps sind noch für Freak-Lücke anfällig

FireEye hat eine Untersuchung durchgeführt, um zu ermitteln, wie viele Android- und iOS-Apps noch für Freak-Angriffe anfällig sind. Unter den beliebtesten Android-Apps in Google Play fand es 1228 betroffene. Auch unter iOS gibt es weiter anfällige Apps, obwohl Apple die Freak-Schwachstelle mit iOS 8.2 behoben hat.

Für seine Statistiken setzt FireEye zwei Stichtage an: 4. März und 10. März. Am 4. März waren sowohl Android als auch iOS noch für Freak anfällig, bis 10. März hatten beide OS-Anbieter die Lücke in der aktuellsten Version geschlossen. Den Zahlen von FireEye zufolge wurden im gleichen Zeitraum aber nur vergleichsweise wenige Apps gepatcht.

Insgesamt wurden 10.985 Android-Apps mit jeweils mindestens einer Million Downloads untersucht. 11,2 Prozent waren noch anfällig, da sie „eine anfällige OpenSSL-Library nutzen, um sich mit anfälligen HTTPS-Servern zu verbinden“. Diese 1228 Apps entsprechen 6,3 Milliarden Downloads. 664 nutzen eine von Android gestellte OpenSSL-Library, 554 eine selbst kompilierte.

OpenSSL-Schwachstelle Freak: Nur ein kleiner Anteil verwundbarer Apps wurde zwischen 5. und 10. März gepatcht (Diagramm: FireEye).

Unter iOS waren es FireEye zufolge 771 von 14.079 untersuchten Apps, die sich mit angreifbaren Diensten in Verbindung setzen und also anfällig sind, wenn sie unter einer älteren iOS-Version als 8.2 zum Einsatz kommen. Sieben dieser 771 Apple-Anwendungen bringen eine eigene Version von OpenSSL mit und sind somit auch unter iOS 8.2 noch verwundbar.

FireEye skizziert in seinem Blogbeitrag auch, wie ein Angriff ablaufen könnte: „Ein Angreifer kann eine Freak-Attacke mit Man-in-the-Middle-Technik starten, um verschlüsselten Traffic zwischen der Mobil-App und dem Backend-Server abzufangen und zu modifizieren. Dazu kann er bekannte Techniken wie ARP-Spoofing und DNS-Hijacking nutzen. Er muss auch nicht unbedingt die Verschlüsselung in Echtzeit knacken, sondern kann verschlüsselten Netzwerktraffic aufzeichnen, später entschlüsseln und auf die enthaltenen privaten Daten zugreifen.“

So wäre es beispielsweise möglich, eine Shopping-App anzugreifen, um an Kreditkartendaten samt PIN zu kommen. Als besonders bedenklich sehen die Forscher auch verwundbare Medizin- und Gesundheits-Apps, Produktivitäts-Apps und Finanz-Apps an.

Freak ist eine mehr als zehn Jahre alte kryptografische Schwachstelle. Entdeckt hat sie ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria. Der Name Freak steht für „Factoring Attack on RSA-Export Keys“. Er bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und „schwächere“ Export-Produkte für Kunden in anderen Ländern vorschrieb.

Die Einschränkungen seien Ende der Neunzigerjahre aufgehoben worden, die schwache Verschlüsselung finde sich aber immer noch in zahlreichen Anwendungen, die zum Teil unbemerkt auch ihren Weg zurück in die USA gefunden hätten, schrieben die Pariser Forscher. Es war ihnen nach eigenen Angaben gelungen, Browser wie Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung zu nutzen. Sie hätten sie anschließend innerhalb weniger Stunden geknackt und seien dann in der Lage gewesen, persönliche Informationen und Passwörter abzufangen.

Das weitaus wichtigste Programm auf jedem System, um sich vor Freak-Angriffen zu schützen, ist natürlich der Browser. ZDNet informiert in Form einer regelmäßig aktualisierten Tabelle, welche Mobil- und auch Desktop-Browser noch durch Freak-Attacken verwundbar sind.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de