Sicherheitsforscher benennt hunderte Apps mit fehlerhafter SSL-Validierung

Ein Forscher hat ein häufiges Sicherheitsproblem in Apps angesprochen und die Namen hunderter Android-Anwendungen genannt, die in öffentlichen WLAN-Netzen für Informationsdiebstahl anfällig sind. Es handelt sich um eine ungenügende Validierung von SSL-Zertifikaten für Verbindungen per Secure HTTP (SSL/TLS).

Will Dormann von Computer Emergency Resource Team der US-Universität Carnegie Mellon zufolge befasst sich auch schon die Federal Trade Commission mit dem Problem. Sie habe zwei Firmen kontaktiert, deren Android- und iOS-Apps Daten angeblich verschlüsselt übertragen, die aber die Validierung von Zertifikaten abgestellt hatten. In einem öffentlichen WLAN wäre es aufgrund der Schwachstelle möglich, etwa Kreditkartendaten und Passwörter eines Anwenders auszuspionieren.

380 in Google Play und bei Amazon angebotene Apps zählt Dormann auf, darunter die Tastaur SwiftKey, μTorrent Remote, eine ganze Reihe Sicherheitsanwendungen sowie Apps für Onlinebanking, Dating, Karteneinkäufe und Spiele. Bei ihnen könnte eine Man-in-the-Middle-Attacke (MITM) ansetzen und alle Informationen abgreifen, die eigentlich für den Backbone-Server bestimmt waren. Für einen solchen Angriff muss sich der Hacker im gleichen lokalen Netz aufhalten, weshalb öffentliche Wi-Fi-Netze besonders gefährlich sind.

Das Problem ist grundsätzlich bekannt, was die Mängel umso ärgerlicher erscheinen lässt. Dormann räumt ein, dass Kolegen schon auf solche Probleme hingewiesen hätten, aber dabei versäumten, die Hersteller zu kontaktieren, oder gar keine Namen nannten.

Dormann selbst hat den App-Anbietern nicht einmal die branchenüblichen 45 Tage gelassen, um die Sicherheitslücken zu beheben, bevor er sie öffentlich bekannt machte. Dafür nennt er zwei Gründe. Erstens: „Wenn ein Angreifer MITM-Angriffe durchführen will, dann macht er das ohnehin schon. Wahrscheinlich hat er einen Rogue Access-Point aufgesetzt und fängt allen Traffic ab, der hindurchgeht.“ Eine Kenntnis betroffener Apps sei in diesem Fall kein Vorteil für den Angreifer.

Zweitens: „Wenn Endanwender anfällige Applikationen auf ihren Geräten haben, erleichtert es die Verteidigung, wenn man sie kennt. Anfällige Apps können deinstalliert werden, bis ein Fix verfügbar ist, oder wenn der Einsatz unbedingt erforderlich ist, kann man ihn auf vertrauenswürdige Netze beschränken.“

Anwendern, die ein von ihnen eingesetztes Programm auf Dormanns Liste finden, empfiehlt der Forscher, zur Mobil-Website des Angebots zu wechseln. „Viele Android-Anwendungen sind insofern unnötig, als ihre Inhalte auch auf andere Weise zugänglich sind. Zum Beispiel bietet eine Bank vielleicht eine Android-App an, aber genauso kann man in einem Webbrowser auf sie zugreifen. Wer den Browser nutzt, umgeht Situationen, in denen vielleicht keine SSL-Validierung stattfindet.“

Außerdem heißt es im Advisory auf CERT.org: „Vermeiden Sie nicht vertrauenswürdige Netze, darunter öffentliche WLANs. Setzen Sie Ihr Gerät in einem solchen Netz ein, erhöht das die Wahrscheinlichkeit, einer MITM-Attacke zum Opfer zu fallen.“

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de