Video Screencast Help
Website Security Solutions

SSL-Schwachstellen machen Android-Apps verwundbar

Created: 15 Nov 2012 • Updated: 18 Dec 2012 • Translations available: English, Français
Brian Wall's picture
0 0 Votes
Login to vote

Apps haben mittlerweile in fast alle Lebensbereiche Einzug gehalten und verbreiten sich weiterhin mit hoher Geschwindigkeit. Wir leben in einer Welt der Mobiltechnologie, in der Apps rund um die Uhr für die verschiedensten Zwecke, von sozialen Medien über Online-Banking und Spiele bis hin zu Bezahldiensten, eingesetzt werden. Smartphones und andere Mobilgeräte sind durch die Annehmlichkeiten, die sie uns bieten, schnell zu der Plattform für Unternehmen und Kunden avanciert.

Laut dem Marktforschungsunternehmen Gartner werden 2012 weltweit voraussichtlich mehr als 45,6 Milliarden Downloads aus App Stores getätigt, davon 40,1 Milliarden (89 %) kostenlos und 5 Milliarden kostenpflichtig.

Es gibt daher Anlass zu großer Besorgnis, dass manche Android-Entwickler bei der Sicherung ihrer Apps kläglich versagen. Das Problem ist mittlerweile so schwerwiegend, dass eine Gruppe von Experten, die als „verdeckte Ermittler“ auftraten, bei einer Überprüfung von 13 500 kostenlosen Anwendungen nach eigenen Angaben Bankdaten und Zugangsdaten für E-Mail-Konten und Konten in sozialen Medien stehlen konnten. Dies ist eine schlechte Nachricht für alle App-Benutzer und jeden, der seine Systeme schützen will.

Wie besorgt sollte man aufgrund dieser Erkenntnisse sein? Die Antwort ist hier eindeutig „äußerst besorgt“. Die Experten der Leibniz-Universität Hannover und der Philipps-Universität Marburg stellten fest, dass 1 074 der 13 500 untersuchten Apps Code enthielten, der potenziell für einen Man-in-the-Middle-Angriff anfällig war. Hierbei handelt es sich um einen Angriff, bei dem normaler Datenverkehr abgefangen wird, um die Daten zu untersuchen oder gar zu verändern, bevor sie an das bestimmungsgemäße Ziel weitergeleitet werden, ohne dass eine der ursprünglichen Parteien dies bemerkt.

Noch beunruhigender ist die Menge der Zugangsdaten, die bei dieser Aktion erfasst werden konnten. Viele stammten von Websites, die ein Großteil der Benutzer täglich verwendet, wie beispielsweise Bankenportale, Facebook, Twitter, Google, Yahoo, American Express, Diners Club, PayPal, Microsoft Live ID, Box (zur Vereinfachung der Online-Speicherung von Dateien), Remote-Control-Server, beliebige E-Mail-Portale und IBM Sametime.

Eine der 41 Apps war ein Virenschutzprogramm, das zwar für den Download von Virensignaturen ein Zertifikat anforderte, allerdings jedes beliebige Zertifikat akzeptierte. Da die Verbindung als sicher galt, erfolgte zudem keine Überprüfung der vorgelegten Datei durch die App. Dem Expertenteam gelang es sogar, seine eigene Signaturdatei in die Virenschutz-Engine einzuspeisen. Zunächst sendeten die Tester eine leere Signaturdatenbank. Diese wurde akzeptiert, so dass der Virenschutz deaktiviert wurde, ohne dass der Benutzer hiervon erfuhr. In einem zweiten Angriff wurde eine Virussignatur für die Virenschutz-App selbst erstellt und an das Telefon gesendet. Diese Signatur wurde von der App akzeptiert, die sich daraufhin selbst als Virus erkannte und empfahl sich zu löschen, was auch prompt geschah.

Diese Fehler zeigen sehr deutlich, wie nachlässig einige App-Entwickler programmieren. Aber dies ist noch nicht alles. Ebenso beunruhigend sind die inhärenten Fehler des Betriebssystems Android selbst. Das Untersuchungsteam stellte nämlich ebenfalls fest, dass es, im Gegensatz zum Schlosssymbol in den meisten modernen Browsern, kein visuelles Signal dafür gibt, dass in einer Anwendung eine sichere SSL-Verbindung aufgebaut wurde.

„Apps brauchen dies nicht zwingend selbst zu signalisieren und werden nicht daran gehindert, falsche, irreführende oder einfach gar keine Informationen hierzu anzuzeigen“, führen die Experten aus. Ein Beispiel hierfür ist, wie Sie vielleicht wissen sollten, der Google Play Store selbst. Die Verwendung eines ungültigen SSL-Zertifikats (die einfach durch Verstellen der Systemuhr simuliert werden kann) führte nicht zu einer Warnung, dass ein Sicherheitsproblem vorliege, sondern nur zu der Meldung, dass keine Verbindung bestehe.

Das Untersuchungsteam befragte 754 Benutzer mit einem Durchschnittsalter von 24 Jahren, von denen sich 62 % nicht als IT-Fachleute einstuften. Wenn die Umfrage ohne eine SSL-Verbindung durchgeführt wurde, dachten 47,5 % der Nichtfachleute fälschlicherweise, dass die Verbindung sicher sei. Allerdings war die Zahl auch bei den Personen nicht wesentlich niedriger, die sich als IT-Fachleute eingestuft hatten. 34,7 % von ihnen glaubten, dass die Verbindung sicher sei, obwohl dies nicht der Fall war.

Sie werden bei all diesen schlechten Nachrichten erleichtert sein zu hören, dass der Standardbrowser von Android eine lobenswerte Ausnahme darstellt und von den Experten als „vorbildlich in der Anwendung von SSL“ bezeichnet wird. Aber obwohl der Browser im Falle eines potenziellen Sicherheitsproblems klar verständliche Warnungen anzeigt und visuell signalisiert, ob und wann eine SSL-Verbindung aufgebaut wurde, hatten die Benutzer dennoch Schwierigkeiten, sichere von unsicheren Verbindungen zu unterscheiden.

Von denjenigen, die fälschlicherweise annahmen, dass die Verbindung sicher sei, dachten 47,7 % dies deshalb, weil sie ihrem Internetanbieter vertrauten, 22,7 %, weil sie ihrem Telefon vertrauten und 21,6 %, weil sie meinten, dass die URL mit „https://“ beginne, obwohl dies bei der Umfrage nicht der Fall war.

Man könnte nun denken, dass sich die Umfrage unglücklicherweise nur mit den negativsten Aspekten von Apps befasste und sie daher schlechter erscheinen lässt, als eigentlich gerechtfertigt wäre. Vielleicht aber auch nicht. Eine andere Studie, die von ViaForensics durchgeführt wurde, untersuchte Apps für die Betriebssysteme Android von Google und iOS von Apple und stellte dabei fest, dass tatsächlich 76 % dieser Apps Benutzernamen unverschlüsselt speichern und 10 % noch nicht einmal Kennwörter verschlüsseln.

Das bedeutet ganz klar: Wenn Sie mit Apps spielen, spielen Sie womöglich mit dem Feuer. Was ist nun hieraus zu lernen und wie lässt sich die Situation verbessern? Wenn Unternehmen wirklich daran interessiert sind, Sicherheitslücken in (mobilen und nicht mobilen) Anwendungen zu beseitigen, müssen sie nach Möglichkeiten suchen, mit denen sich zuverlässige Sicherheit sowohl für Entwickler als auch für die Anwender problemlos und benutzerfreundlich herstellen lässt.

Anwendungsentwickler müssen die korrekte Implementierung von SSL und TLS deutlich vereinfachen und Versäumnisse in puncto Sicherheit erheblich erschweren. Entwicklungsteams müssen die Validierung von SSL-/TLS-Zertifikaten zwingend erforderlich machen und QA-Teams müssen Anwendungen daraufhin prüfen. Nur auf diese Weise werden die von Ihnen verwendeten Apps Ihren Anforderungen gerecht.

Weitere Informationen dazu, wie Sie die Sicherheit Ihrer Apps gewährleisten können, finden Sie im folgenden Blog: http://www.symantec.com/connect/blogs/ssl-apps