Abo
  • Services:
Anzeige
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können.
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können. (Bild: Sam Bowne/City College San Francisco)

Android: Tausende Apps akzeptieren gefälschte Zertifikate

Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können.
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können. (Bild: Sam Bowne/City College San Francisco)

Die Schwachstelle ist seit einem halben Jahr bekannt, doch noch immer können Tausende Android-Apps mit gefälschten Zertifikaten überlistet werden, verschlüsselte Verbindungen aufzubauen. Über diese können Zugangsdaten abgegriffen werden.

Anzeige

Mit gefälschten TLS-Zertifikaten können weiterhin zahlreiche Android-Apps dazu gebracht werden, verschlüsselte Verbindungen mit Servern von Cyberkriminellen aufzubauen. Bereits im September 2014 wurden die Entwickler der Apps durch das CERT (Computer Emergency Response Team) der Carnegie Mellon Universität informiert, das die Schwachstelle damals in mehr als 23.000 Apps feststellte. Eine Nachuntersuchung durch das City College in San Francisco ergab jetzt, dass sie in vielen populären Anwendungen immer noch enthalten ist. Von einem ähnlichen Fehler sind auch zahlreiche Apps für iOS betroffen.

Das Problem: Anders als im Browser, der Anwender vor möglicherweise gefälschten Verbindungen warnt, akzeptieren die betroffenen Apps solche Zertifikate ungefragt und stellen eine verschlüsselte Verbindung her, die Angreifer abfangen können. Über solche Man-in-the-Middle-Angriffe können Dritte Zugangsdaten abgreifen, die Anwender in der verwundbaren App eingeben.

Populäre Apps sind noch betroffen

Laut der jüngsten Untersuchung sind auch Apps betroffen, die mehrere Millionen Downloads über Googles offiziellen Play Store vermelden, darunter Picsart Photo Studio, das Konten mit Logins über Facebook-, Twitter- und Google+-Konten erlaubt, oder der Astro File Manager, über den sich Verbindungen mit Cloud-Diensten wie Microsofts Ondrive herstellen lassen.

Sam Bowne ließ seine Studenten am City College mehrere Apps aus der CERT-Liste untersuchen, nachdem er selbst festgestellt hatte, dass die Applikation Snap Secure anfällig für gefälschte Zertifikate war. Snap Secure verspricht sichere Backups von Kontaktdaten und soll Eltern ermöglichen, ihre Kinder zu überwachen, indem Standortdaten übermittelt und die Eltern über geführte Telefonate und versendete SMS informiert werden. Für seine Experimente nutzte Bowne die frei erhältliche Software-Sammlung Burp, mit der sich Web-Applikationen auf Sicherheit testen lassen.

Erst kürzlich hatte Google seinen Jahresbericht zur Sicherheit von Apps für Android veröffentlicht. Darin wird auch die genannte Schwachstelle erwähnt. Demnach wurde sie in mehr als 25.000 Apps bereits behoben.

Ähnliche Schwachstelle in iOS-Apps

Auch Tausende Apps für iOS sind von einer ähnlichen Schwachstelle betroffen. Sie alle nutzen eine fehlerhafte Implementation der Bibliothek AFNetworking, die inzwischen aber behoben wurde. AFNetworking vor Version 2.5.3 versäumt es, den Domainnamen in einem gültigen Zertifikat zu überprüfen. Angreifer könnten den verschlüsselten Datenverkehr damit auf eine eigene Domain umleiten, sofern die App keine zusätzlichen Schutzmaßnahmen einsetzt, etwa das Certificate-Pinning. Das IT-Sicherheitsunternehmen SourceDNA, das die Schwachstelle entdeckte, hat ein kostenloses Werkzeug bereitgestellt, mit dem der Fehler gefunden werden kann.


eye home zur Startseite
Jasmin26 30. Apr 2015

das ist mir doch vollkommen klar, "meine" schreibe dient auch nur als Beispiel um zu...

nykiel.marek 29. Apr 2015

Google hat Sicherheitslücken in Fremdsoftware Microsoft angelastet? Oder wie soll man...

gaym0r 29. Apr 2015

Hätte bereits der Spiegel berichtet.



Anzeige

Stellenmarkt
  1. IT-Dienstleistungszentrum Berlin, Berlin
  2. TUI Group, Hannover
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. trinamiX GmbH, Ludwigshafen


Anzeige
Hardware-Angebote
  1. jetzt bei Alternate
  2. jetzt bei Caseking

Folgen Sie uns
       


  1. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  2. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  3. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  4. Bundesgerichtshof

    Keine Urheberrechtsverletzung durch Google-Bildersuche

  5. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  6. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt

  7. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  8. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant

  9. Nach "Judenhasser"-Eklat

    Facebook erlaubt wieder gezielte Werbung an Berufsgruppen

  10. Tuxedo

    Linux-Notebook läuft bis zu 20 Stunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Drei Netzanbieter warnt vor Upgrade auf iOS 11
  2. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS
  3. iPhone iOS 11 bekommt Schutz gegen unerwünschte Memory-Dumps

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  2. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  3. Kreditrating Equifax' Krisenreaktion ist ein Desaster

  1. Re: natürlich ist das sinnvoll

    Sarkastius | 04:00

  2. Re: Ein Ersatz für Pulse?

    Seitan-Sushi-Fan | 03:22

  3. Re: Die Umfrage ist ziemlich wertlos ohne weitere...

    maverick1977 | 03:15

  4. Re: Vodafone Cable in Berlin Verbindungsabbrüche

    SzSch | 03:03

  5. Re: History repeats itself

    Seitan-Sushi-Fan | 03:00


  1. 18:13

  2. 17:49

  3. 17:39

  4. 17:16

  5. 17:11

  6. 16:49

  7. 16:17

  8. 16:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel