1611848

Studie

Viele Android-Apps sollen sensible Daten verraten

22.10.2012 | 15:15 Uhr |

Forschern aus Hannover und Marburg ist es wegen unzureichender SSL-Verschlüsselung vieler Android-Apps gelungen, Konto- und Facebook-Daten mitzulauschen.

Wissenschaftler der Universitäten Leibniz in Hannover und Philipps in Marburg haben 13.500 Android-Apps unter die Lupe genommen , die sie aus Google Play heruntergeladen hatten. Mittels ihres eigens entwickelten Spezialtools MalloDroid haben die Wissenschaftler die Apps auf MITM-Anfälligkeit durchleuchtet. MITM steht für „Man in the middle“ und bezeichnet einen Angriff, bei dem sich der Hacker zwischen Opfer und Datenziel schaltet um mitzuhören. Immerhin 8 Prozent, also 1.074 Apps verwendeten eine SSL-Verschlüsselung zur Datenübertragung, die sie anfällig für MITM-Attacken mache.

Ein häufiges Problem sei mangelhafte Überprüfung. Die betroffenen Apps würden viel zu einfach gesendete Zertifikate akzeptieren und so Hackern die Türe öffnen. Aus einer Stichprobe von 100 Apps konnten die Forscher eigenen Aussagen nach aus 41 sensible Daten mitlauschen. Dazu gehören die Daten von American Express, Diners Club, PayPal, Kontodaten, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress und mehr. Es sei ihnen außerdem gelungen eine Antiviren-App so zu manipulieren, dass sie harmlose Apps als Virus erkenne oder gefährliche Daten als harmlos einstufe.

Zusätzlich haben die Wissenschaftler durch eine Umfrage herausgefunden, dass vielen Anwendern nicht klar ist, wann eine App Daten per SSL verschlüsselt und wann diese gänzlich ungeschützt übertragen werden. Anders als beim Webbrowser lässt sich bei Apps nicht mit einem Blick auf die Adresszeile sagen, ob Sie gerade per http oder https surfen.

Als Fazit ihrer Forschung wünschen sich die Forscher unter anderem eine Android-Version von HTTPS Everywhere  - ein Tool auf dem PC, das SSL-Verschlüsselung erzwingt, wenn die Option besteht.

0 Kommentare zu diesem Artikel
1611848