Abo
  • Services:
Anzeige
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können.
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können. (Bild: Sam Bowne/City College San Francisco)

Android: Tausende Apps akzeptieren gefälschte Zertifikate

Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können.
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können. (Bild: Sam Bowne/City College San Francisco)

Die Schwachstelle ist seit einem halben Jahr bekannt, doch noch immer können Tausende Android-Apps mit gefälschten Zertifikaten überlistet werden, verschlüsselte Verbindungen aufzubauen. Über diese können Zugangsdaten abgegriffen werden.

Anzeige

Mit gefälschten TLS-Zertifikaten können weiterhin zahlreiche Android-Apps dazu gebracht werden, verschlüsselte Verbindungen mit Servern von Cyberkriminellen aufzubauen. Bereits im September 2014 wurden die Entwickler der Apps durch das CERT (Computer Emergency Response Team) der Carnegie Mellon Universität informiert, das die Schwachstelle damals in mehr als 23.000 Apps feststellte. Eine Nachuntersuchung durch das City College in San Francisco ergab jetzt, dass sie in vielen populären Anwendungen immer noch enthalten ist. Von einem ähnlichen Fehler sind auch zahlreiche Apps für iOS betroffen.

Das Problem: Anders als im Browser, der Anwender vor möglicherweise gefälschten Verbindungen warnt, akzeptieren die betroffenen Apps solche Zertifikate ungefragt und stellen eine verschlüsselte Verbindung her, die Angreifer abfangen können. Über solche Man-in-the-Middle-Angriffe können Dritte Zugangsdaten abgreifen, die Anwender in der verwundbaren App eingeben.

Populäre Apps sind noch betroffen

Laut der jüngsten Untersuchung sind auch Apps betroffen, die mehrere Millionen Downloads über Googles offiziellen Play Store vermelden, darunter Picsart Photo Studio, das Konten mit Logins über Facebook-, Twitter- und Google+-Konten erlaubt, oder der Astro File Manager, über den sich Verbindungen mit Cloud-Diensten wie Microsofts Ondrive herstellen lassen.

Sam Bowne ließ seine Studenten am City College mehrere Apps aus der CERT-Liste untersuchen, nachdem er selbst festgestellt hatte, dass die Applikation Snap Secure anfällig für gefälschte Zertifikate war. Snap Secure verspricht sichere Backups von Kontaktdaten und soll Eltern ermöglichen, ihre Kinder zu überwachen, indem Standortdaten übermittelt und die Eltern über geführte Telefonate und versendete SMS informiert werden. Für seine Experimente nutzte Bowne die frei erhältliche Software-Sammlung Burp, mit der sich Web-Applikationen auf Sicherheit testen lassen.

Erst kürzlich hatte Google seinen Jahresbericht zur Sicherheit von Apps für Android veröffentlicht. Darin wird auch die genannte Schwachstelle erwähnt. Demnach wurde sie in mehr als 25.000 Apps bereits behoben.

Ähnliche Schwachstelle in iOS-Apps

Auch Tausende Apps für iOS sind von einer ähnlichen Schwachstelle betroffen. Sie alle nutzen eine fehlerhafte Implementation der Bibliothek AFNetworking, die inzwischen aber behoben wurde. AFNetworking vor Version 2.5.3 versäumt es, den Domainnamen in einem gültigen Zertifikat zu überprüfen. Angreifer könnten den verschlüsselten Datenverkehr damit auf eine eigene Domain umleiten, sofern die App keine zusätzlichen Schutzmaßnahmen einsetzt, etwa das Certificate-Pinning. Das IT-Sicherheitsunternehmen SourceDNA, das die Schwachstelle entdeckte, hat ein kostenloses Werkzeug bereitgestellt, mit dem der Fehler gefunden werden kann.


eye home zur Startseite
Jasmin26 30. Apr 2015

das ist mir doch vollkommen klar, "meine" schreibe dient auch nur als Beispiel um zu...

nykiel.marek 29. Apr 2015

Google hat Sicherheitslücken in Fremdsoftware Microsoft angelastet? Oder wie soll man...

gaym0r 29. Apr 2015

Hätte bereits der Spiegel berichtet.



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. OSRAM GmbH, Garching bei München
  3. MedAdvisors GmbH über Academic Work Germany GmbH, Hamburg
  4. MöllerTech International GmbH, Bielefeld


Anzeige
Spiele-Angebote
  1. 29,00€/29,37€ (für Prime-Mitglieder)
  2. (-78%) 8,99€
  3. (-20%) 55,99€

Folgen Sie uns
       


  1. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge

  2. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  3. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  4. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  5. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  6. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  7. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  8. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  9. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  10. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

  1. Re: Die cryengine ist nichts besonderes mehr.

    R3VO | 04:33

  2. Re: Alternativen?

    Gandalf2210 | 04:31

  3. Re: Warum überhaupt VLC nutzen

    ve2000 | 01:26

  4. Re: Exzessive Nutzung kann sogar ein unerfüllter...

    bombinho | 01:10

  5. Re: War Huawei nicht auch mal ein Billig-"China...

    sofries | 00:37


  1. 18:10

  2. 10:10

  3. 09:59

  4. 09:00

  5. 18:58

  6. 18:20

  7. 17:59

  8. 17:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel