• IT-Karriere:
  • Services:

Android-Apps: Sicherheitslücke durch fehlerhafte SSL-Prüfung

Das Fraunhofer-Institut für Sichere Informationstechnologie hat mehrere Android-Apps ausfindig gemacht, bei denen die fehlerhafte Prüfung des SSL-Zertifikats den Zugriff auf Zugangsdaten möglich macht. Nur etwa die Hälfte aller kontaktierten Hersteller hat die Sicherheitslücke bisher geschlossen.

Artikel veröffentlicht am ,
Die Sicherheitslücke ist insbesondere bei Single-Sign-On-Apps kritisch.
Die Sicherheitslücke ist insbesondere bei Single-Sign-On-Apps kritisch. (Bild: Fraunhofer)

Wenn die Prüfung des Echtheitszertifikates der SSL-Verschlüsselung nicht korrekt ausgeführt wird, reicht ein manipuliertes WLAN aus, um Nutzerdaten zu entwenden. Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) konnte 30 Apps ausfindig machen, welche eine solche Schwachstelle aufweisen, 16 Hersteller haben bisher reagiert und die Sicherheitslücke geschlossen.

Stellenmarkt
  1. Diakonie-Klinikum Stuttgart, Stuttgart
  2. Berliner Verkehrsbetriebe (BVG), Berlin

Zu den in einer aktualisierten Version nicht von der fehlerhaften Prüfung betroffenen Apps zählen unter anderem Amazon MP3, Banking von Volkswagen, Chat-on von Samsung, Flickr, Lidl, Music von Telekom, Spiegel Online und Yahoo Mail. Jens Heider vom SIT betont: "Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit" und "Die Lücke ist prinzipiell ganz einfach zu schließen". Ist sie jedoch offen, droht in manipulierten - also zumeist öffentlichen - WLANs der Verlust von Zugangsdaten bis hin zu unberechtigten Überweisungen.

16 der über 30 in Kenntnis gesetzten Hersteller hätten durch neue App-Versionen die korrekte Prüfung des Echtheitszertifikates eingepflegt, insgesamt wurden 2.000 Anwendungen getestet. Hintergrund ist die Entwicklung von "Appicaptor", einem Testframework zum automatischen Prüfen der Sicherheit von Apps.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Yu-Gi-Oh! Legacy of the Duelist für 7,20€, Yu-Gi-Oh! Legacy of the Duelist: Link...
  2. 6,66€
  3. 18,99€

skroll 10. Dez 2013

Überschrift hin oder her, warum schreibt man nicht klar das die Sicherheitslücke bei den...

derdiedas 09. Dez 2013

Klasse Foto mit den Stacheln aus der App - passt super :-)


Folgen Sie uns
       


Samsung QLED 8K Q800T - Test

Samsungs preisgünstiger 8K-Fernseher hat eine tolle Auflösung, schneidet aber insgesamt nicht so gut ab.

Samsung QLED 8K Q800T - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /