Abo
  • Services:
Anzeige
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können.
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können. (Bild: Sam Bowne/City College San Francisco)

Android: Tausende Apps akzeptieren gefälschte Zertifikate

Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können.
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können. (Bild: Sam Bowne/City College San Francisco)

Die Schwachstelle ist seit einem halben Jahr bekannt, doch noch immer können Tausende Android-Apps mit gefälschten Zertifikaten überlistet werden, verschlüsselte Verbindungen aufzubauen. Über diese können Zugangsdaten abgegriffen werden.

Anzeige

Mit gefälschten TLS-Zertifikaten können weiterhin zahlreiche Android-Apps dazu gebracht werden, verschlüsselte Verbindungen mit Servern von Cyberkriminellen aufzubauen. Bereits im September 2014 wurden die Entwickler der Apps durch das CERT (Computer Emergency Response Team) der Carnegie Mellon Universität informiert, das die Schwachstelle damals in mehr als 23.000 Apps feststellte. Eine Nachuntersuchung durch das City College in San Francisco ergab jetzt, dass sie in vielen populären Anwendungen immer noch enthalten ist. Von einem ähnlichen Fehler sind auch zahlreiche Apps für iOS betroffen.

Das Problem: Anders als im Browser, der Anwender vor möglicherweise gefälschten Verbindungen warnt, akzeptieren die betroffenen Apps solche Zertifikate ungefragt und stellen eine verschlüsselte Verbindung her, die Angreifer abfangen können. Über solche Man-in-the-Middle-Angriffe können Dritte Zugangsdaten abgreifen, die Anwender in der verwundbaren App eingeben.

Populäre Apps sind noch betroffen

Laut der jüngsten Untersuchung sind auch Apps betroffen, die mehrere Millionen Downloads über Googles offiziellen Play Store vermelden, darunter Picsart Photo Studio, das Konten mit Logins über Facebook-, Twitter- und Google+-Konten erlaubt, oder der Astro File Manager, über den sich Verbindungen mit Cloud-Diensten wie Microsofts Ondrive herstellen lassen.

Sam Bowne ließ seine Studenten am City College mehrere Apps aus der CERT-Liste untersuchen, nachdem er selbst festgestellt hatte, dass die Applikation Snap Secure anfällig für gefälschte Zertifikate war. Snap Secure verspricht sichere Backups von Kontaktdaten und soll Eltern ermöglichen, ihre Kinder zu überwachen, indem Standortdaten übermittelt und die Eltern über geführte Telefonate und versendete SMS informiert werden. Für seine Experimente nutzte Bowne die frei erhältliche Software-Sammlung Burp, mit der sich Web-Applikationen auf Sicherheit testen lassen.

Erst kürzlich hatte Google seinen Jahresbericht zur Sicherheit von Apps für Android veröffentlicht. Darin wird auch die genannte Schwachstelle erwähnt. Demnach wurde sie in mehr als 25.000 Apps bereits behoben.

Ähnliche Schwachstelle in iOS-Apps

Auch Tausende Apps für iOS sind von einer ähnlichen Schwachstelle betroffen. Sie alle nutzen eine fehlerhafte Implementation der Bibliothek AFNetworking, die inzwischen aber behoben wurde. AFNetworking vor Version 2.5.3 versäumt es, den Domainnamen in einem gültigen Zertifikat zu überprüfen. Angreifer könnten den verschlüsselten Datenverkehr damit auf eine eigene Domain umleiten, sofern die App keine zusätzlichen Schutzmaßnahmen einsetzt, etwa das Certificate-Pinning. Das IT-Sicherheitsunternehmen SourceDNA, das die Schwachstelle entdeckte, hat ein kostenloses Werkzeug bereitgestellt, mit dem der Fehler gefunden werden kann.


eye home zur Startseite
Jasmin26 30. Apr 2015

das ist mir doch vollkommen klar, "meine" schreibe dient auch nur als Beispiel um zu...

nykiel.marek 29. Apr 2015

Google hat Sicherheitslücken in Fremdsoftware Microsoft angelastet? Oder wie soll man...

gaym0r 29. Apr 2015

Hätte bereits der Spiegel berichtet.



Anzeige

Stellenmarkt
  1. Engelhorn KGaA, Mannheim
  2. Mavi Europe AG, Heusenstamm
  3. Robert Bosch GmbH, Böblingen
  4. Deutscher Genossenschafts-Verlag eG, Wiesbaden


Anzeige
Top-Angebote
  1. Alte PS4 inkl. Controller + 2 Spiele + 99,99€ = PlayStation 4 Pro (1TB) | +++ACHTUNG+++ Man kann...
  2. 13,99€
  3. (u. a. Samsung 850 Evo 250-GB-SSD 84,90€, Zotac GTX 1080 AMP 549,00€ statt 669€, GIGABYTE...

Folgen Sie uns
       


  1. HP, Philips, Fujitsu

    Bloatware auf Millionen Notebooks ermöglicht Codeausführung

  2. Mali-C71

    ARM bringt seinen ersten ISP für Automotive

  3. SUNET

    Forschungsnetz erhält 100 GBit/s und ROADM-Technologie

  4. Cisco

    Kontrollzentrum verwaltet Smartphones im Unternehmen

  5. Datenschutz

    Facebook erhält weiterhin keine Whatsapp-Daten

  6. FTTH

    Telekom will mehr Kooperationen für echte Glasfaser

  7. Open Data

    OKFN will deutsche Wetterdaten befreien

  8. Spectrum Next

    Voll kompatible Neuauflage des ZX Spectrum ist finanziert

  9. OmniOS

    Freier Solaris-Nachfolger steht vor dem Ende

  10. Cybercrime

    Computerkriminalität nimmt statistisch gesehen zu



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
OWASP Top 10
Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  1. Malware Schadsoftware bei 1.200 Holiday-Inn- und Crowne-Plaza-Hotels
  2. Zero Day Exploit Magento-Onlineshops sind wieder gefährdet
  3. Staatstrojaner Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

Creators Update: Game Mode macht Spiele runder und Windows 10 ruckelig
Creators Update
Game Mode macht Spiele runder und Windows 10 ruckelig
  1. Microsoft Zwei große Updates pro Jahr für Windows 10
  2. Windows 10 Version 17xx-2 Stromsparmodus kommt für die nächste Windows-Version
  3. Windows as a Service Die erste Windows-10-Version hat noch drei Wochen Support

Linux auf dem Switch: Freiheit kann ganz schön kompliziert sein!
Linux auf dem Switch
Freiheit kann ganz schön kompliziert sein!
  1. Digital Ocean Cloud-Hoster löscht versehentlich Primärdatenbank
  2. Google Cloud Platform für weitere Microsoft-Produkte angepasst
  3. Marktforschung Cloud-Geschäft wächst rasant, Amazon dominiert den Markt

  1. Re: Konsolen wurden schon öfters für tot erklärt

    violator | 20:34

  2. Der Verlust wäre zu verschmerzen ...

    Kiray | 20:33

  3. Re: 300¤..

    lahmbi5678 | 20:27

  4. Re: Zustimmung!

    thinksimple | 20:26

  5. Re: FireTV steuern per Echo

    Jörg Steen | 20:26


  1. 19:00

  2. 18:44

  3. 18:14

  4. 17:47

  5. 16:19

  6. 16:02

  7. 15:40

  8. 14:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel