Android-Apps: Sicherheitslücke durch fehlerhafte SSL-Prüfung

Das Fraunhofer-Institut für Sichere Informationstechnologie hat mehrere Android-Apps ausfindig gemacht, bei denen die fehlerhafte Prüfung des SSL-Zertifikats den Zugriff auf Zugangsdaten möglich macht. Nur etwa die Hälfte aller kontaktierten Hersteller hat die Sicherheitslücke bisher geschlossen.

Artikel veröffentlicht am ,
Die Sicherheitslücke ist insbesondere bei Single-Sign-On-Apps kritisch.
Die Sicherheitslücke ist insbesondere bei Single-Sign-On-Apps kritisch. (Bild: Fraunhofer)

Wenn die Prüfung des Echtheitszertifikates der SSL-Verschlüsselung nicht korrekt ausgeführt wird, reicht ein manipuliertes WLAN aus, um Nutzerdaten zu entwenden. Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) konnte 30 Apps ausfindig machen, welche eine solche Schwachstelle aufweisen, 16 Hersteller haben bisher reagiert und die Sicherheitslücke geschlossen.

Stellenmarkt
  1. IT-Mitarbeiter MVZ-Support (m/w/d)
    Helios IT Service GmbH, Erfurt, Blankenhain, Kronach, Meiningen, Gotha
  2. Projektleiter (m/w/d)
    Chemnitzer Verlag und Druck GmbH & Co. KG, Chemnitz
Detailsuche

Zu den in einer aktualisierten Version nicht von der fehlerhaften Prüfung betroffenen Apps zählen unter anderem Amazon MP3, Banking von Volkswagen, Chat-on von Samsung, Flickr, Lidl, Music von Telekom, Spiegel Online und Yahoo Mail. Jens Heider vom SIT betont: "Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit" und "Die Lücke ist prinzipiell ganz einfach zu schließen". Ist sie jedoch offen, droht in manipulierten - also zumeist öffentlichen - WLANs der Verlust von Zugangsdaten bis hin zu unberechtigten Überweisungen.

16 der über 30 in Kenntnis gesetzten Hersteller hätten durch neue App-Versionen die korrekte Prüfung des Echtheitszertifikates eingepflegt, insgesamt wurden 2.000 Anwendungen getestet. Hintergrund ist die Entwicklung von "Appicaptor", einem Testframework zum automatischen Prüfen der Sicherheit von Apps.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Klage
Paypal friert Konten ein und behält Geld nach 180 Tagen

In einer Sammelklage wird Paypal vorgeworfen, Konten ohne Nennung von Gründen einzufrieren und das Geld nach 180 Tagen zu behalten.

Klage: Paypal friert Konten ein und behält Geld nach 180 Tagen
Artikel
  1. Krypto-Verbot: Panikverkäufe von Krypto-Mininggerät im Kosovo
    Krypto-Verbot
    Panikverkäufe von Krypto-Mininggerät im Kosovo

    Schürfen von Kryptowährungen ist im Kosovo seit kurzem verboten. Mineure versuchen, ihr Equipment oft zu Schleuderpreisen loszuwerden.

  2. Malware: Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine
    Malware
    Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine

    Die Schadsoftware soll sich als Ransomware tarnen.

  3. Großunternehmen: Lindner will Mindeststeuer zum 1. Januar 2023 umsetzen
    Großunternehmen
    Lindner will Mindeststeuer zum 1. Januar 2023 umsetzen

    Bundesfinanzminister Christian Lindner will die Mindeststeuer für Großunternehmen in Deutschland schnell einführen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. WD Blue 3D 1TB 79€, be quiet! Straight Power 11 850W 119€ u. PowerColor RX 6600 Hellhound 529€) • Alternate: Weekend-Deals • HyperX Cloud II Wireless 107,19€ • Cooler Master MH752 54,90€ • Gainward RTX 3080 12GB 1.599€ • Saturn-Hits • 3 für 2: Marvel & Star Wars [Werbung]
    •  /