SSL-Zertifikate werden nicht ausreichend kontrolliert
Eigentlich wurde das SSL-Verfahren dazu geschaffen um einen sicheren Datentransfer über das Internet zu gewährleisten. Eine aktuelle Studie einer Studentengruppe zeigt jedoch, dass gerade Android-Apps oft über eine schlechte bzw. unsichere SSL-Implementierung verfügen. Indem entsprechende SSL-Zertifikate nicht streng genug kontrolliert werden, kann sich ein Angreifer in den Datenverkehr einklinken und die transportierten Daten aufzeichnen. Gemäß einer Stichprobe der deutschen Studenten sind viele populäre Apps betroffen, und damit auch Millionen von Android-Usern.
1.074 Apps mit mangelhafter SSL-Integration
Die sechs Studenten untersuchten insgesamt 13.500 Apps aus dem Google Play Store. Dabei haben sie die Apps mit einer eigens angefertigte Software auf entsprechend mangelhafte SSL-Implementierungen überprüft. Zum Vorschein kamen 1.074 Apps, die beliebige SSL-Zertifikate akzeptieren oder den Hostnamen nicht mit dem Zertifikat abgleichen und damit potenziell gefährdet für Angriffe sind.
Die betroffenen Apps sind anfällig für sogenannte Man-in-the-Middle-Attacken (MITM). Dabei wird der Datentransfer von einer dritten Person mitgeschnitten. Auf diesem Weg können übertragene Daten abgefangen werden. Zu diesen Daten gehören oft Logindaten, Kreditkartennummern, Kontodaten oder Ähnliches.
Kreditkarten, Benutzernamen, Passwörter und Kontodaten
Von den rund 1.000 potenziell anfälligen Apps untersuchten die Studenten 100 Stück zusätzlich manuell um die Durchführbarkeit von MITM-Attacken zu bestätigen. Die besagten 100 Apps erreichen laut Google 39.5 bis 185 Millionen Nutzer. 41 Apps gaben tatsächlich Daten preis, darunter Zugangsdaten bzw. Kontodaten von American Express, Diners Club, Paypal, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box oder WordPress.
Ergebnisse wurden anonymisiert
Die Forscher veröffentlichten keine konkreten Produktnamen der betroffenen Apps, um die User zu schützen. Dennoch wird durch die Anzahl der betroffenen User schnell klar, dass es sich sehr wohl um populäre Anwendungen handelt. Die User sind der Fahrlässigkeit der Programmierer zunächst ausgeliefert und können sich nur dagegen entscheiden, eine der betroffenen Apps überhaupt zu verwenden.
Überprüfung bei Apple nicht möglich
Dass sich das Phänomen von mangelhafter SSL-Integration nur auf Android bezieht ist unwahrscheinlich. Im Apple-Lager wäre eine solche, groß angelegte Stichprobe aber nicht so einfach zu realisieren. Deswegen ist ein Vergleich mit Android-Apps nur schwer möglich.
Die ausführlichen Ergebnisse der Studie können in einem rund 60-seitigen PDF-Dokument nachgelesen werden.
von Tom 22.10.2012 (14:48Uhr) 1.
Ups ...
von San Kukai via facebook 22.10.2012 (14:53Uhr) 2.
What Can Go Wrong Goes Wrong
von Tobias Kamiński via facebook 22.10.2012 (14:55Uhr) 3.
Find ich gut!
von Bruno Jennrich via facebook 22.10.2012 (14:59Uhr) 4.
was heisst "unzureichende ssl integration"? zu häufig kompletter verzicht? oder falsche implementation? wenn letzteres, was machen wir falsch?
von Felix Wiesel via facebook 22.10.2012 (15:05Uhr) 5.
use ios
von t3n Magazin via facebook 22.10.2012 (15:07Uhr) 6.
Bruno Jennrich: Das ausführliche Dokument gibt exakt Auskunft darüber, was bei der Implementierung falsch gemacht wird! (mos)
von Andreas Krüger via facebook 22.10.2012 (15:15Uhr) 7.
@Felix. Toller Tipp. Also ob das dort überprüft wird im Review ...
von Felix Wiesel via facebook 22.10.2012 (15:19Uhr) 8.
;-)
von Bruno Jennrich via facebook 22.10.2012 (15:28Uhr) 9.
wenn ich das richtig sehe reicht es also nicht, ein https schema via HttpURLConnection anzusprechen, ich muss auch einen trustmanager instanziieren, weil der default manager alle zertifikate kritiklos akzeptiert. richtig?
von timeeeeeee 22.10.2012 (19:30Uhr) 10.
Wer nutzt auch Android für Bankverbindungen??? Tststs ... ;)
von Christoph Bach via facebook 23.10.2012 (00:58Uhr) 11.
Hahaha, Android!