Abo
  • IT-Karriere:

Android-Apps: Sicherheitslücke durch fehlerhafte SSL-Prüfung

Das Fraunhofer-Institut für Sichere Informationstechnologie hat mehrere Android-Apps ausfindig gemacht, bei denen die fehlerhafte Prüfung des SSL-Zertifikats den Zugriff auf Zugangsdaten möglich macht. Nur etwa die Hälfte aller kontaktierten Hersteller hat die Sicherheitslücke bisher geschlossen.

Artikel veröffentlicht am ,
Die Sicherheitslücke ist insbesondere bei Single-Sign-On-Apps kritisch.
Die Sicherheitslücke ist insbesondere bei Single-Sign-On-Apps kritisch. (Bild: Fraunhofer)

Wenn die Prüfung des Echtheitszertifikates der SSL-Verschlüsselung nicht korrekt ausgeführt wird, reicht ein manipuliertes WLAN aus, um Nutzerdaten zu entwenden. Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) konnte 30 Apps ausfindig machen, welche eine solche Schwachstelle aufweisen, 16 Hersteller haben bisher reagiert und die Sicherheitslücke geschlossen.

Stellenmarkt
  1. Scheer GmbH, Freiburg
  2. DIEBOLD NIXDORF, Berlin

Zu den in einer aktualisierten Version nicht von der fehlerhaften Prüfung betroffenen Apps zählen unter anderem Amazon MP3, Banking von Volkswagen, Chat-on von Samsung, Flickr, Lidl, Music von Telekom, Spiegel Online und Yahoo Mail. Jens Heider vom SIT betont: "Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit" und "Die Lücke ist prinzipiell ganz einfach zu schließen". Ist sie jedoch offen, droht in manipulierten - also zumeist öffentlichen - WLANs der Verlust von Zugangsdaten bis hin zu unberechtigten Überweisungen.

16 der über 30 in Kenntnis gesetzten Hersteller hätten durch neue App-Versionen die korrekte Prüfung des Echtheitszertifikates eingepflegt, insgesamt wurden 2.000 Anwendungen getestet. Hintergrund ist die Entwicklung von "Appicaptor", einem Testframework zum automatischen Prüfen der Sicherheit von Apps.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 72,99€ (Release am 19. September)

skroll 10. Dez 2013

Überschrift hin oder her, warum schreibt man nicht klar das die Sicherheitslücke bei den...

derdiedas 09. Dez 2013

Klasse Foto mit den Stacheln aus der App - passt super :-)


Folgen Sie uns
       


Seasonic TX-700 Fanless und The First - Hands on (Computex 2019)

Das Prime TX-700 Fanless vo Seasonic ist das derzeit stärkste passiv gekühlte Netzteil am Markt. Die kompaktere Variante namens PX-500 wiederum passt in das The First von Monsterlabo, ein Gehäuse, um 200-Watt-Komponenten passiv zu kühlen.

Seasonic TX-700 Fanless und The First - Hands on (Computex 2019) Video aufrufen
Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

    •  /