1874407

Fraunhofer-Institut warnt vor SSL-Lücke in Android-Apps

10.12.2013 | 11:09 Uhr |

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) warnt vor einer SSL-Sicherheitslücke in Apps für das mobile Betriebssystem. Betroffen sind auch populäre Apps von Verlagen und für Online-Banking. Teils haben die Entwickler bereits reagiert.

Das "Fraunhofer-Institut für Sichere Informationstechnologie" (SIT) hat über 2000 Android-Apps überprüft und dabei bei einigen Apps schwere Sicherheitsfehler entdeckt. Angreifer könnten über die gefundene SSL-Schwachstelle beispielsweise Zugangsdaten stehlen und damit zum Teil großen Schaden anrichten.

"Das Fraunhofer-Institut hat über 30 betroffene Unternehmen informiert, davon haben bislang 16 reagiert und die Sicherheitslücke geschlossen. Hierzu gehören unter anderem Apps von Amazon, Spiegel Online, Lidl oder der Volkswagen Bank", heißt es in einer Mitteilung des SIT . Eine vollständige Liste der betroffenen Android-App-Versionen bietet SIT auf dieser Seite zum Nachlesen.

Besonders gravierend sei das Risiko bei Apps, die die Single-Sign-On zu Diensten von beispielsweise Google oder Microsoft nutzen, weil hier die Zugangsinformationen zu einer Vielzahl von Diensten ausgespäht und missbraucht werden könnten. Schuld  sei eine fehlerhafte Verwendung des SSL-Protokolls. Die Prüfung der verwendeten Echtheitszertifikate sei bei den betroffenen Apps falsch umgesetzt worden.

„Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit“, sagt Dr. Jens Heider vom Fraunhofer SIT. Angreifer müssten beispielsweise nur die Kommunikation beim Surfen über WLAN manipulieren, um an die Zugangsdaten der angegriffenen Nutzer zu gelangen. Die Behebung der Lücke sei für die Entwickler der Apps einfach. Teils lieferten die informierten Entwickler binnen eines Tages eine neue Version der App, in der die Lücke behoben worden war, wie im Fall der Volkswagen Bank.

Generell empfiehlt das Fraunhofer SIT vorsichtig bei der Nutzung von Apps in öffentlichen WLAN-Bereichen zu sein.

0 Kommentare zu diesem Artikel
1874407