Fraunhofer: SSL-Lücke macht Android-Apps unsicher

Es ist nur eine fehlerhafte Implementierung des SSL-Zertifkates. Dennoch öffnen Entwickler damit in Android-Apps eine große Sicherheitslücke, wie das Fraunhofer-Institut für Sichere Informationstechnologie mitteilt.

Fraunhofer SIT warnt vor unsicheren SSL-Implementierungen in Android-Apps. Quelle: Cnet
Fraunhofer SIT warnt vor unsicheren SSL-Implementierungen in Android-Apps. Quelle: Cnet

Zahlreiche Android-Apps leiden an einer Sicherheitslücke, die durch die unsichere Implementierung eines SSL-Zertifikats entsteht. Das Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat insgesamt 2000 Android-Apps untersucht. Über diese Schwachstelle konnten Angreifer Zugangsdaten stehlen, teilt SIT mit. Von dem Fehler sollen Anwendungen von mehr als 30 Unternehmen betroffen sein. Bislang haben sollen laut SIT aber erst erst 16 mit einem Update reagiert haben (PDF).

Das Leck entstehe durch eine unzureichende Prüfung der eingesetzten Sicherheitszertifikate. “Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit”, so Jens Heider vom Fraunhofer SIT in einer Pressemitteilung. Ohne eine korrekte Verschlüsselung des Datenverkehrs per SSL sei es möglich, Zugangsdaten beispielsweise beim Surfen über WLAN zu manipulieren. Vor allem in öffentlichen Zugangspunkten wie Hotels, Restaurants oder Flughäfen sei das Leck besonders einfach auszunutzen.

Zu den fehlerhaften Apps gehören auch viele Anwendungen namhafter Anbieter. Auf der Website des Fraunhofer SIT findet sich allerdings nur eine Liste mit den bereits gepatchten Apps. Darunter sind Programme von Google, Yahoo, Amazon, Samsung, Deutsche Telekom, E-Plus, Lidl und Tchibo. Auch die Banking-App der Volkswagen Financial Services prüfte demnach Sicherheitszertifikate nur unzureichend.

“Das entstandene Sicherheitsrisiko für Nutzer ist abhängig vom jeweiligen Anwendungszweck: Bei mancher App droht lediglich die Manipulation der eigenen Foto-Bestände, im Falle einer Banking-App lassen sich hingegen die Zugangsdaten unter Umständen auch für unberechtigte Überweisungen oder andere Manipulationen des Bankkontos nutzen”, so SIT. Ein besonders hohes Risiko bestehe bei Apps, die Single-Sign-On-Dienste von Google oder Microsoft verwendeten, da die Zugangsinformationen auch für eine Vielzahl von anderen Diensten wie E-Mail, Cloud-Speicher oder Instant Messaging gültig seien.

“Die Lücke ist prinzipiell ganz einfach zu schließen”, ergänzte Heider. Er und sein Team hätten die Hersteller schon vor Wochen informiert. Die Volkswagen Bank habe innerhalb eines Tages eine fehlerbereinigte Version zur Verfügung gestellt. “Dort, wo die gefundene Lücke beseitigt ist, sollten Nutzern die entsprechende App einfach aktualisieren.” Grundsätzlich rät das Fraunhofer SIT zu einer vorsichtigen Nutzung von Apps in öffentlichen WLAN-Netzen.

Fehler in der SSL-Implementierung sind Android-Apps weit verbreitet. Im Oktober 2012 hatten Forscher der Leibniz Universität Hannover und der Philipps-Universität Marburg bei einer Untersuchung von 13.000 Android-Anwendungen mehr als 1000 fehlerhafte Apps gefunden. Unter anderem war es ihnen gelungen, einer Antivirensoftware, die ebenfalls SSL verwendet, gefälschte Virendefinitionen unterzuschieben.

Im September 2013 behob Facebook einen Fehler in der Android-App, der dazu führte, dass die Anwendung trotz aktivierter Verschlüsselung nicht per sicherem HTTPS mit den Servern des Social Network kommunizierte. Dem Entdecker der Lücke zahlte das Unternehmen eine Belohnung von 2000 Dollar.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de