Categories: Sicherheit

FireEye: Über 1200 beliebte Android-Apps sind noch für Freak-Lücke anfällig

FireEye hat eine Untersuchung durchgeführt, um zu ermitteln, wie viele Android- und iOS-Apps noch für Freak-Angriffe anfällig sind. Unter den beliebtesten Android-Apps in Google Play fand es 1228 betroffene. Auch unter iOS gibt es weiter anfällige Apps, obwohl Apple die Freak-Schwachstelle mit iOS 8.2 behoben hat.

Für seine Statistiken setzt FireEye zwei Stichtage an: 4. März und 10. März. Am 4. März waren sowohl Android als auch iOS noch für Freak anfällig, bis 10. März hatten beide OS-Anbieter die Lücke in der aktuellsten Version geschlossen. Den Zahlen von FireEye zufolge wurden im gleichen Zeitraum aber nur vergleichsweise wenige Apps gepatcht.

Insgesamt wurden 10.985 Android-Apps mit jeweils mindestens einer Million Downloads untersucht. 11,2 Prozent waren noch anfällig, da sie „eine anfällige OpenSSL-Library nutzen, um sich mit anfälligen HTTPS-Servern zu verbinden“. Diese 1228 Apps entsprechen 6,3 Milliarden Downloads. 664 nutzen eine von Android gestellte OpenSSL-Library, 554 eine selbst kompilierte.

OpenSSL-Schwachstelle Freak: Nur ein kleiner Anteil verwundbarer Apps wurde zwischen 5. und 10. März gepatcht (Diagramm: FireEye).

Unter iOS waren es FireEye zufolge 771 von 14.079 untersuchten Apps, die sich mit angreifbaren Diensten in Verbindung setzen und also anfällig sind, wenn sie unter einer älteren iOS-Version als 8.2 zum Einsatz kommen. Sieben dieser 771 Apple-Anwendungen bringen eine eigene Version von OpenSSL mit und sind somit auch unter iOS 8.2 noch verwundbar.

FireEye skizziert in seinem Blogbeitrag auch, wie ein Angriff ablaufen könnte: „Ein Angreifer kann eine Freak-Attacke mit Man-in-the-Middle-Technik starten, um verschlüsselten Traffic zwischen der Mobil-App und dem Backend-Server abzufangen und zu modifizieren. Dazu kann er bekannte Techniken wie ARP-Spoofing und DNS-Hijacking nutzen. Er muss auch nicht unbedingt die Verschlüsselung in Echtzeit knacken, sondern kann verschlüsselten Netzwerktraffic aufzeichnen, später entschlüsseln und auf die enthaltenen privaten Daten zugreifen.“

So wäre es beispielsweise möglich, eine Shopping-App anzugreifen, um an Kreditkartendaten samt PIN zu kommen. Als besonders bedenklich sehen die Forscher auch verwundbare Medizin- und Gesundheits-Apps, Produktivitäts-Apps und Finanz-Apps an.

Freak ist eine mehr als zehn Jahre alte kryptografische Schwachstelle. Entdeckt hat sie ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria. Der Name Freak steht für „Factoring Attack on RSA-Export Keys“. Er bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und „schwächere“ Export-Produkte für Kunden in anderen Ländern vorschrieb.

Die Einschränkungen seien Ende der Neunzigerjahre aufgehoben worden, die schwache Verschlüsselung finde sich aber immer noch in zahlreichen Anwendungen, die zum Teil unbemerkt auch ihren Weg zurück in die USA gefunden hätten, schrieben die Pariser Forscher. Es war ihnen nach eigenen Angaben gelungen, Browser wie Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung zu nutzen. Sie hätten sie anschließend innerhalb weniger Stunden geknackt und seien dann in der Lage gewesen, persönliche Informationen und Passwörter abzufangen.

Das weitaus wichtigste Programm auf jedem System, um sich vor Freak-Angriffen zu schützen, ist natürlich der Browser. ZDNet informiert in Form einer regelmäßig aktualisierten Tabelle, welche Mobil- und auch Desktop-Browser noch durch Freak-Attacken verwundbar sind.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago