Video Screencast Help
Website Security Solutions

Fehlerhafte Verschlüsselung macht Android-Apps unsicher

Created: 15 Jan 2013 • Updated: 16 Jan 2013 • Translations available: English, Français, Español
Brian Wall's picture
0 0 Votes
Login to vote

Nach Erkenntnissen einer wissenschaftlichen Forschungsgruppe sind Verschlüsselung und SSL-Schutz von 41 Android-Anwendungen fehlerhaft bzw. mangelhaft. Die bereits bis zu 185 Millionen Mal heruntergeladenen Apps können somit bei der Kommunikation zwischen Gerät und Webserver angezapft werden.

Hacker könnten über diese Schwachstelle Online-Banking-Daten, aber auch Zugangsdaten für soziale Netze, E-Mail-Konten und Messaging-Dienste sowie übertragene Inhalte in ihren Besitz bringen. In einer der betroffenen Apps, einer Virenschutzanwendung, ermöglicht die fehlerhafte SSL-Implementierung unter Android 4.0 (Ice Cream Sandwich) zudem den Datendiebstahl.

Interessanterweise geben die Forscher nicht an, welche Anwendungen unsicher sind. Sie weisen aber nachdrücklich darauf hin, dass die betroffenenen Programme laut der Google-Statistik bereits zwischen 39,5 und 185 Millionen Mal heruntergeladen wurden.

Um die beschriebenen Schwachstellen nachzuweisen, verbanden die Forscher die Testgeräte mit einem Local Area Network (LAN) und unterliefen die Verschlüsselungsprotokolle Secure Sockets Layer (SSL) und Transportation Layer Security (TLS) mit „wohlbekannten“ Angriffsmethoden.

„Wir konnten Konto- und Kreditkartendaten abgreifen,“ schrieben die Wissenschaftler von der Leibniz-Universität Hannover und der Philipps-Universität Marburg. „Wir erfassten Zugangsdaten und Inhalte, erhielten Zugriff auf Kameras und konnten den Steuerkanal von Apps und Remote-Servern unterlaufen.“

Obwohl kaum etwas darauf hindeutet, dass die angreifbaren Anwendungen von Google selbst programmiert wurden, betont die Forschungsgruppe, dass die Entwickler in Mountain View die auf Google Play angebotenen Apps mit wenigen Schritten bedeutend sicherer machen könnten.

Wir wissen, dass Google viel für die Sicherheit tut. So hat der Internetriese zum Beispiel bereits einen Großteil seiner Webumgebung mit SSL ausgestattet. Wie Google selbst schreibt:  „Zwei der häufigsten Themen bei Fragen zu Google im Allgemeinen und Google Apps im Speziellen sind Sicherheit und Datenschutz. Wir nehmen beide Themen sehr ernst und sind davon überzeugt, dass unsere Produkte für Kunden hinsichtlich beider Bereiche eine hervorragende Wahl sind. Unser Unternehmen basiert auf dem Vertrauen unserer Nutzer: Vertrauen in unsere Fähigkeit, Daten ordnungsgemäß zu sichern, sowie unseren Einsatz für den Schutz der in unseren Systemen gespeicherten persönlichen Daten. Das heißt, dass wir sie nicht an Dritte weitergeben oder auf unangemessene Weise nutzen.“ Tipps zur Sicherheit von Mobilgeräten finden Sie im kostenlosen Sicherheits-Whitepaper von Symantec Website Security Solutions.