Android-Apps geben wegen fehlerhafter SSL-Implementierung Nutzerdaten preis

Forscher der Leibniz Universität Hannover und der Philipps-Universität Marburg haben festgestellt, dass viele Android-Apps das Verschlüsselungsprotokoll SSL (Secure Socket Layer) fehlerhaft implementieren. Dadurch sind die Apps anfällig für Man-in-the-Middle-Angriffe. Wie The Register berichtet, waren die Forscher unter anderem in der Lage, Anmeldedaten für Facebook, Twitter, Google, Microsoft, WordPress und beliebige E-Mail-Konten sowie Kreditkarten- und Kontodaten abzufangen.

Diese Aussage trifft ihrem Untersuchungsbericht (PDF) zufolge auf mehr als 1000 von 13.000 Anwendungen für Googles Mobilbetriebssystem zu, die die Forscher überprüft haben. Außerdem ist es ihnen offenbar gelungen, einer Antivirensoftware, die ebenfalls SSL verwendet, gefälschte Virendefinitionen unterzuschieben, um beliebige Apps als schädlich einzustufen oder den Virenschutz vollständig zu deaktivieren.

Das Problem beruhe darauf, dass Entwickler die SSL-Einstellungen, die die Android-API biete, falsch konfigurierten, so die Forscher. Beispiele seien Anwendungen, die grundsätzlich allen Zertifikaten vertrauten. Andere Apps wiederum seien so eingestellt, dass sie stets Zertifikate auch von einer anderen Domain als der des Herausgebers akzeptierten.

Andere Apps sind für sogenanntes SSL-Stripping anfällig. Es führt dazu, dass sich gesicherte HTTPS-Verbindungen in unverschlüsselte HTTP-Verbindungen umwandeln lassen. In einigen Fällen würden Nutzer auch nicht darüber informiert, ob eine Anwendung ihre Daten per SSL oder ungeschützt übertrage.

Die Forscher haben ein webbasiertes Tool namens „MalloDroid“ entwickelt, das die SSL-Implementierung von Android-Apps überprüfen kann. Es soll der Allgemeinheit zur Verfügung gestellt und als Bestandteil der Sicherheitsanwendung Androguard angeboten werden.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.