Abo
  • Services:
Anzeige
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können.
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können. (Bild: Sam Bowne/City College San Francisco)

Android: Tausende Apps akzeptieren gefälschte Zertifikate

Die Schwachstelle ist seit einem halben Jahr bekannt, doch noch immer können Tausende Android-Apps mit gefälschten Zertifikaten überlistet werden, verschlüsselte Verbindungen aufzubauen. Über diese können Zugangsdaten abgegriffen werden.

Anzeige

Mit gefälschten TLS-Zertifikaten können weiterhin zahlreiche Android-Apps dazu gebracht werden, verschlüsselte Verbindungen mit Servern von Cyberkriminellen aufzubauen. Bereits im September 2014 wurden die Entwickler der Apps durch das CERT (Computer Emergency Response Team) der Carnegie Mellon Universität informiert, das die Schwachstelle damals in mehr als 23.000 Apps feststellte. Eine Nachuntersuchung durch das City College in San Francisco ergab jetzt, dass sie in vielen populären Anwendungen immer noch enthalten ist. Von einem ähnlichen Fehler sind auch zahlreiche Apps für iOS betroffen.

Das Problem: Anders als im Browser, der Anwender vor möglicherweise gefälschten Verbindungen warnt, akzeptieren die betroffenen Apps solche Zertifikate ungefragt und stellen eine verschlüsselte Verbindung her, die Angreifer abfangen können. Über solche Man-in-the-Middle-Angriffe können Dritte Zugangsdaten abgreifen, die Anwender in der verwundbaren App eingeben.

Populäre Apps sind noch betroffen

Laut der jüngsten Untersuchung sind auch Apps betroffen, die mehrere Millionen Downloads über Googles offiziellen Play Store vermelden, darunter Picsart Photo Studio, das Konten mit Logins über Facebook-, Twitter- und Google+-Konten erlaubt, oder der Astro File Manager, über den sich Verbindungen mit Cloud-Diensten wie Microsofts Ondrive herstellen lassen.

Sam Bowne ließ seine Studenten am City College mehrere Apps aus der CERT-Liste untersuchen, nachdem er selbst festgestellt hatte, dass die Applikation Snap Secure anfällig für gefälschte Zertifikate war. Snap Secure verspricht sichere Backups von Kontaktdaten und soll Eltern ermöglichen, ihre Kinder zu überwachen, indem Standortdaten übermittelt und die Eltern über geführte Telefonate und versendete SMS informiert werden. Für seine Experimente nutzte Bowne die frei erhältliche Software-Sammlung Burp, mit der sich Web-Applikationen auf Sicherheit testen lassen.

Erst kürzlich hatte Google seinen Jahresbericht zur Sicherheit von Apps für Android veröffentlicht. Darin wird auch die genannte Schwachstelle erwähnt. Demnach wurde sie in mehr als 25.000 Apps bereits behoben.

Ähnliche Schwachstelle in iOS-Apps

Auch Tausende Apps für iOS sind von einer ähnlichen Schwachstelle betroffen. Sie alle nutzen eine fehlerhafte Implementation der Bibliothek AFNetworking, die inzwischen aber behoben wurde. AFNetworking vor Version 2.5.3 versäumt es, den Domainnamen in einem gültigen Zertifikat zu überprüfen. Angreifer könnten den verschlüsselten Datenverkehr damit auf eine eigene Domain umleiten, sofern die App keine zusätzlichen Schutzmaßnahmen einsetzt, etwa das Certificate-Pinning. Das IT-Sicherheitsunternehmen SourceDNA, das die Schwachstelle entdeckte, hat ein kostenloses Werkzeug bereitgestellt, mit dem der Fehler gefunden werden kann.


eye home zur Startseite
Jasmin26 30. Apr 2015

das ist mir doch vollkommen klar, "meine" schreibe dient auch nur als Beispiel um zu...

nykiel.marek 29. Apr 2015

Google hat Sicherheitslücken in Fremdsoftware Microsoft angelastet? Oder wie soll man...

gaym0r 29. Apr 2015

Hätte bereits der Spiegel berichtet.



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. ADG Apotheken-Dienstleistungsgesellschaft mbH, Mannheim
  3. VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Wiesbaden
  4. Porsche AG, Zuffenhausen


Anzeige
Top-Angebote
  1. 17,99€
  2. und Gratis-Produkt erhalten
  3. (Core i7-6700HQ + GeForce GTX 1060)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  2. Simplygon

    Microsoft reduziert 3D-Details

  3. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  4. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  5. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  6. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  7. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt

  8. Content-ID

    Illegale Porno-Hoster umgehen Youtube-Filter

  9. Wayland

    Google erstellt Gamepad-Support für Android in Chrome OS

  10. Gabe Newell

    Valve-Chef über neue Spiele und Filme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Tado im Test: Heizkörperthermostate mit effizientem Stalker-Modus
Tado im Test
Heizkörperthermostate mit effizientem Stalker-Modus
  1. Hausautomatisierung Google Nest kommt in deutsche Wohnzimmer
  2. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden
  3. Airbot LG stellt Roboter für Flughäfen vor

Routertest: Der nicht ganz so schnelle Linksys WRT3200ACM
Routertest
Der nicht ganz so schnelle Linksys WRT3200ACM
  1. Norton Core Symantec bietet sicheren Router mit Kreditkartenpflicht
  2. Routerfreiheit bei Vodafone Der Kampf um die eigene Telefonnummer
  3. Router-Schwachstellen 100.000 Kunden in Großbritannien von Störungen betroffen

U Ultra und U Play im Hands on: HTCs intelligente Smartphones hören immer zu
U Ultra und U Play im Hands on
HTCs intelligente Smartphones hören immer zu
  1. VR-Headset HTC stellt Kopfhörerband und Tracker für Vive vor
  2. HTC 10 Evo im Kurztest HTCs eigenwillige Evolution
  3. Virtual Reality HTC stellt Drahtlos-Kit für Vive vor

  1. Bahnhof ...

    luarix | 17:02

  2. Re: Ein Trauerspiel

    Tantalus | 17:02

  3. Schneeballsystem

    smirg0l | 17:02

  4. Re: wie kann jemand Hoster sein, wenn der Content...

    Moe479 | 17:00

  5. Re: 4K & 60 FPS Streaming getestet?

    theFiend | 16:59


  1. 17:07

  2. 16:53

  3. 16:39

  4. 16:27

  5. 16:13

  6. 16:00

  7. 15:47

  8. 15:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel