Fraunhofer-Institut warnt vor SSL-Lücken in Android-Apps

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat bei der Analyse von 2000 Android-Apps bei einigen Programmen Fehler in der SSL-Implementierung entdeckt. Angreifer seien mithilfe der Schwachstelle in der Lage gewesen, Zugangsdaten zu stehlen, heißt es. Davon betroffen waren Anwendungen von mehr als 30 Unternehmen. Bislang haben erst 16 davon mit einem Update reagiert (PDF), das den Fehler beseitigt.

Die Anfälligkeit an sich beruht demnach auf einer mangelnden Prüfung der eingesetzten Sicherheitszertifikate. „Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit“, wird Jens Heider vom Fraunhofer SIT in einer Pressemitteilung zitiert. Ohne eine korrekte Verschlüsselung des Datenverkehrs per SSL sei es möglich, Zugangsdaten beispielsweise beim Surfen über WLAN zu manipulieren. Dies sei bei unverschlüsselten öffentlichen Zugangspunkten in Hotels, Restaurants und Flughäfen besonders leicht.

Zu den fehlerhaften Apps gehören auch viele Anwendungen namhafter Anbieter. Auf der Website des Fraunhofer SIT findet sich allerdings nur eine Liste mit den bereits gepatchten Apps. Darunter sind Programme von Google, Yahoo, Amazon, Samsung, Deutsche Telekom, E-Plus, Lidl und Tchibo. Auch die Banking-App der Volkswagen Financial Services prüfte demnach Sicherheitszertifikate nur unzureichend.

„Das entstandene Sicherheitsrisiko für Nutzer ist abhängig vom jeweiligen Anwendungszweck: Bei mancher App droht lediglich die Manipulation der eigenen Foto-Bestände, im Falle einer Banking-App lassen sich hingegen die Zugangsdaten unter Umständen auch für unberechtigte Überweisungen oder andere Manipulationen des Bankkontos nutzen“, heißt es weiter in der Pressemeldung. Ein besonders hohes Risiko bestehe bei Apps, die Single-Sign-On-Dienste von Google oder Microsoft verwendeten, da die Zugangsinformationen auch für eine Vielzahl von anderen Diensten wie E-Mail, Cloud-Speicher oder Instant Messaging gültig seien.

„Die Lücke ist prinzipiell ganz einfach zu schließen“, ergänzte Heider. Er und sein Team hätten die Hersteller schon vor Wochen informiert. Die Volkswagen Bank habe innerhalb eines Tages eine fehlerbereinigte Version zur Verfügung gestellt. „Dort, wo die gefundene Lücke beseitigt ist, sollten Nutzern die entsprechende App einfach aktualisieren.“ Grundsätzlich rät das Fraunhofer SIT zu einer vorsichtigen Nutzung von Apps in öffentlichen WLAN-Netzen.

Fehler in der SSL-Implementierung sind unter Android-Apps leider weit verbreitet. Im Oktober 2012 hatten Forscher der Leibniz Universität Hannover und der Philipps-Universität Marburg bei einer Untersuchung von 13.000 Android-Anwendungen mehr als 1000 fehlerhafte Apps gefunden. Unter anderem war es ihnen gelungen, einer Antivirensoftware, die ebenfalls SSL verwendet, gefälschte Virendefinitionen unterzuschieben.

Im September 2013 behob Facebook einen Fehler in seiner Android-App, der dazu führte, dass die Anwendung trotz aktivierter Verschlüsselung nicht per sicherem HTTPS mit den Servern des Social Network kommunizierte. Dem Entdecker der Lücke zahlte das Unternehmen eine Belohnung von 2000 Dollar.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de