Vorheriger Artikel Nächster Artikel

Android und SSL: Tausende Apps gewähren Zugriff auf Logins, Bankdaten und Co.

Forscher der Universitäten Hannover und Marburg haben tausende untersucht, und dabei festgestellt, dass viele Entwickler die SSL-Verschlüsselung nur unzureichend integrieren. Dadurch sind sogenannte Man-in-the-Middle-Attacken möglich, die den Datenverkehr der aufzeichnen und dabei sensitive Daten wie Logins und Kontoinformationen preisgeben.

Android und SSL: Tausende Apps gewähren Zugriff auf Logins, Bankdaten und Co.

SSL-Zertifikate werden nicht ausreichend kontrolliert

Eigentlich wurde das SSL-Verfahren dazu geschaffen um einen sicheren Datentransfer über das Internet zu gewährleisten. Eine aktuelle Studie einer Studentengruppe zeigt jedoch, dass gerade Android-Apps oft über eine schlechte bzw. unsichere SSL-Implementierung verfügen. Indem entsprechende SSL-Zertifikate nicht streng genug kontrolliert werden, kann sich ein Angreifer in den Datenverkehr einklinken und die transportierten Daten aufzeichnen. Gemäß einer Stichprobe der deutschen Studenten sind viele populäre Apps betroffen, und damit auch Millionen von Android-Usern.

1.074 Apps mit mangelhafter SSL-Integration

Die sechs Studenten untersuchten insgesamt 13.500 Apps aus dem Google Play Store. Dabei haben sie die Apps mit einer eigens angefertigte Software auf entsprechend mangelhafte SSL-Implementierungen überprüft. Zum Vorschein kamen 1.074 Apps, die beliebige SSL-Zertifikate akzeptieren oder den Hostnamen nicht mit dem Zertifikat abgleichen und damit potenziell gefährdet für Angriffe sind.

Die betroffenen Apps sind anfällig für sogenannte Man-in-the-Middle-Attacken (MITM). Dabei wird der Datentransfer von einer dritten Person mitgeschnitten. Auf diesem Weg können übertragene Daten abgefangen werden. Zu diesen Daten gehören oft Logindaten, Kreditkartennummern, Kontodaten oder Ähnliches.

Sogar ein Virenscanner konnte durch eine MITM-Attacke so manipuliert werden, dass er sich danach selbst als Schadsoftware anzeigt.

Kreditkarten, Benutzernamen, Passwörter und Kontodaten

Von den rund 1.000 potenziell anfälligen Apps untersuchten die Studenten 100 Stück zusätzlich manuell um die Durchführbarkeit von MITM-Attacken zu bestätigen. Die besagten 100 Apps erreichen laut Google 39.5 bis 185 Millionen Nutzer. 41 Apps gaben tatsächlich Daten preis, darunter Zugangsdaten bzw. Kontodaten von American Express, Diners Club, Paypal, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box oder WordPress.

Ergebnisse wurden anonymisiert

Die Forscher veröffentlichten keine konkreten Produktnamen der betroffenen Apps, um die User zu schützen. Dennoch wird durch die Anzahl der betroffenen User schnell klar, dass es sich sehr wohl um populäre Anwendungen handelt. Die User sind der Fahrlässigkeit der Programmierer zunächst ausgeliefert und können sich nur dagegen entscheiden, eine der betroffenen Apps überhaupt zu verwenden.

Überprüfung bei Apple nicht möglich

Dass sich das Phänomen von mangelhafter SSL-Integration nur auf bezieht ist unwahrscheinlich. Im Apple-Lager wäre eine solche, groß angelegte Stichprobe aber nicht so einfach zu realisieren. Deswegen ist ein Vergleich mit Android-Apps nur schwer möglich.

Die ausführlichen Ergebnisse der Studie können in einem rund 60-seitigen PDF-Dokument nachgelesen werden.

Weiterführende Links:

Newsletter Newsletter

Abonniere unseren Newsletter und erhalte einen exklusiven Artikel aus dem aktuellen t3n Magazin.

Jetzt lesen: t3n Newsletter Nr. 556

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
2 Antworten
  1. von timeeeeeee am 22.10.2012 (19:30 Uhr)

    Wer nutzt auch Android für Bankverbindungen??? Tststs ... ;)

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Android-Apps
Google will familienfreundliche Apps fördern: Das müssen Entwickler wissen
Google will familienfreundliche Apps fördern: Das müssen Entwickler wissen

Mit dem Programm „Designed for Families“ will Google familienfreundliche Apps fördern und in einem gesonderten Bereich im Play-Store präsentieren. Wir verraten euch, worauf ihr als … » weiterlesen

Praktische Präsentationshilfe: Google Präsentationen für Android jetzt mit Chromecast-Unterstützung
Praktische Präsentationshilfe: Google Präsentationen für Android jetzt mit Chromecast-Unterstützung

Die Android-App „Google Präsentationen“ unterstützt jetzt auch den Chromecast-Dongle. Damit könnt ihr auf einfache Art und Weise eure Präsentationen kabellos auf ein HDMI-fähiges Display bringen. » weiterlesen

Mehr Apps für Windows 10: Microsoft ermöglicht einfachere Portierung von iOS- und Android-Apps
Mehr Apps für Windows 10: Microsoft ermöglicht einfachere Portierung von iOS- und Android-Apps

Microsoft will mehr Anwendungen für sein neues Betriebssystem und angelt sich dafür Android- und iOS-Entwickler. Mit dem „Project Islandwood“ sollen die Anwendungen rascher für Windows 10 … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?

t3n 40 jetzt kostenfrei probelesen! Alle Inhalte des t3n Magazins Diesen Hinweis verbergen