Android: Tausende Apps akzeptieren gefälschte Zertifikate

Die Schwachstelle ist seit einem halben Jahr bekannt, doch noch immer können Tausende Android-Apps mit gefälschten Zertifikaten überlistet werden, verschlüsselte Verbindungen aufzubauen. Über diese können Zugangsdaten abgegriffen werden.

Artikel veröffentlicht am ,
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können.
Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können. (Bild: Sam Bowne/City College San Francisco)

Mit gefälschten TLS-Zertifikaten können weiterhin zahlreiche Android-Apps dazu gebracht werden, verschlüsselte Verbindungen mit Servern von Cyberkriminellen aufzubauen. Bereits im September 2014 wurden die Entwickler der Apps durch das CERT (Computer Emergency Response Team) der Carnegie Mellon Universität informiert, das die Schwachstelle damals in mehr als 23.000 Apps feststellte. Eine Nachuntersuchung durch das City College in San Francisco ergab jetzt, dass sie in vielen populären Anwendungen immer noch enthalten ist. Von einem ähnlichen Fehler sind auch zahlreiche Apps für iOS betroffen.

Stellenmarkt
  1. Projektmanager (w/m/d) IT Networking
    Computacenter AG & Co. oHG, Leipzig, Stuttgart
  2. Informatiker bzw. Mathematiker (w/m/d)
    Statistisches Landesamt Baden-Württemberg, Stuttgart
Detailsuche

Das Problem: Anders als im Browser, der Anwender vor möglicherweise gefälschten Verbindungen warnt, akzeptieren die betroffenen Apps solche Zertifikate ungefragt und stellen eine verschlüsselte Verbindung her, die Angreifer abfangen können. Über solche Man-in-the-Middle-Angriffe können Dritte Zugangsdaten abgreifen, die Anwender in der verwundbaren App eingeben.

Populäre Apps sind noch betroffen

Laut der jüngsten Untersuchung sind auch Apps betroffen, die mehrere Millionen Downloads über Googles offiziellen Play Store vermelden, darunter Picsart Photo Studio, das Konten mit Logins über Facebook-, Twitter- und Google+-Konten erlaubt, oder der Astro File Manager, über den sich Verbindungen mit Cloud-Diensten wie Microsofts Ondrive herstellen lassen.

Sam Bowne ließ seine Studenten am City College mehrere Apps aus der CERT-Liste untersuchen, nachdem er selbst festgestellt hatte, dass die Applikation Snap Secure anfällig für gefälschte Zertifikate war. Snap Secure verspricht sichere Backups von Kontaktdaten und soll Eltern ermöglichen, ihre Kinder zu überwachen, indem Standortdaten übermittelt und die Eltern über geführte Telefonate und versendete SMS informiert werden. Für seine Experimente nutzte Bowne die frei erhältliche Software-Sammlung Burp, mit der sich Web-Applikationen auf Sicherheit testen lassen.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    11.-13.10.2022, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Erst kürzlich hatte Google seinen Jahresbericht zur Sicherheit von Apps für Android veröffentlicht. Darin wird auch die genannte Schwachstelle erwähnt. Demnach wurde sie in mehr als 25.000 Apps bereits behoben.

Ähnliche Schwachstelle in iOS-Apps

Auch Tausende Apps für iOS sind von einer ähnlichen Schwachstelle betroffen. Sie alle nutzen eine fehlerhafte Implementation der Bibliothek AFNetworking, die inzwischen aber behoben wurde. AFNetworking vor Version 2.5.3 versäumt es, den Domainnamen in einem gültigen Zertifikat zu überprüfen. Angreifer könnten den verschlüsselten Datenverkehr damit auf eine eigene Domain umleiten, sofern die App keine zusätzlichen Schutzmaßnahmen einsetzt, etwa das Certificate-Pinning. Das IT-Sicherheitsunternehmen SourceDNA, das die Schwachstelle entdeckte, hat ein kostenloses Werkzeug bereitgestellt, mit dem der Fehler gefunden werden kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Jasmin26 30. Apr 2015

das ist mir doch vollkommen klar, "meine" schreibe dient auch nur als Beispiel um zu...

nykiel.marek 29. Apr 2015

Google hat Sicherheitslücken in Fremdsoftware Microsoft angelastet? Oder wie soll man...

gaym0r 29. Apr 2015

Hätte bereits der Spiegel berichtet.



Aktuell auf der Startseite von Golem.de
Google Fonts
Abmahnungen an Webseitenbetreiber mit Google-Schriftarten

Nach einer Entscheidung des Landgerichts München erhalten Webseitenbetreiber mit eingebundenen Google Fonts vermehrt Abmahnungen.

Google Fonts: Abmahnungen an Webseitenbetreiber mit Google-Schriftarten
Artikel
  1. AKW Saporischschja: Ukraine äußert Sorge vor Atomkatastrophe
    AKW Saporischschja
    Ukraine äußert Sorge vor Atomkatastrophe

    Die Ukraine meldet, Russland habe das Kernkraftwerk Saporischschja mit Sprengstoff bestückt. Eine Sprengung könnte eine Katastrophe auslösen.

  2. Spielestreaming: Stadia bietet Neuerungen für kleine und sehr große Gruppen
    Spielestreaming
    Stadia bietet Neuerungen für kleine und sehr große Gruppen

    Neue Funktionen auf Stadia könnten für mehr Kunden sorgen. Wohl nicht zufällig plant Youtube für August 2022 ein riesiges Online-Event.

  3. Gehalt in der IT-Branche: Verdienen treue Angestellte weniger als Wechsler?
    Gehalt in der IT-Branche
    Verdienen treue Angestellte weniger als Wechsler?

    Es gibt gute Gründe, lang bei einer Firma zu bleiben. Finanziell wird diese Treue aber eher nicht belohnt, sagt ein IT-Personalberater.
    Ein Interview von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: MSI 29,5" 200 Hz 259€, LG QNED 75" 120 Hz 1.455,89€ • MindStar (XFX RX 6950 XT 999€, Gainward RTX 3070 559€) • WD Black 2TB m. Kühlkörper (PS5) 219,90€ • Gigabyte Deals • Der beste Gaming-PC für 2.000€ • Apple Week bei Media Markt • be quiet! Deals [Werbung]
    •  /