Fraunhofer Institut

Schwachstelle in SSL-Umsetzung ermöglicht Datenspionage in Android-Apps

Das Fraunhofer-Institut für sichere Informationstechnologie hat eine Sicherheitslücke bei der SSL-Umsetzung in verschiedenen Android-Apps gefunden. Betroffen sind Apps von namenhaften Herstellern wie Amazon oder Yahoo. Auch Banking-Apps sind verwundbar.
Von Kaj-Sören Mossdorf

Fehler bei SSL-Implmentierung ermöglicht Zugriff auf Daten. Fehlerhafte SSL-Implementierung in Apps
Bild: Fraunhofer-Institut für siche Informationstechnologie Das Fraunhofer-Institut für sichere Informationstechnologie hat in circa 30 von über 2 000 getesteten Apps für Googles mobiles Betriebssystem Android, einen Fehler in der SSL-Implementierung gefunden. Zu den betroffenen Applikationen gehören auch Firmen, von denen man dies nicht unbedingt erwartet hätte. Gefunden wurde der Fehler beispielsweise in Apps von Yahoo oder aber auch Amazon. Zudem sind einige Bank-Apps verwundbar. Im Falle einer namentlich nicht genannten App können Zugangsdaten gar zur Manipulation des Bankkontos genutzt werden.

Fehler in der Prüfung von Zertifikaten machen es möglich

Fehler bei SSL-Implmentierung ermöglicht Zugriff auf Daten. Fehlerhafte SSL-Implementierung in Apps
Bild: Fraunhofer-Institut für siche Informationstechnologie Die Forscher fanden die Schwachstelle immer an derselben Stelle - in der Umsetzung des Secure-Socker-Layer-Protokolls, kurz SSL. Eigentlich wird dieses zur Absicherung von Internet-Verkehr genutzt. Ist es fehlerhaft implementiert, kann es aber nutzlos werden. Grundsätzlich basiert SSL auf der Überprüfung von Zertifikaten. Werden diese aber nicht richtig geprüft, können gesendete Daten mitgelesen werden. Damit dies möglich ist, muss aber auch die genutzte WLAN-Verbindung kompromittiert werden. Das ist gerade bei öffentlichen Zugangspunkten und in schwach-verschlüsselten Netzen ohne großen Aufwand möglich.

"Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit", sagt Dr. Jens Heider vom Fraunhofer SIT. "Die Lücke ist prinzipiell ganz einfach zu schließen", so Heider weiter. "Dort, wo die gefundene Lücke beseitigt ist, sollten Nutzer die entsprechende App einfach aktualisieren." Laut der Presseinformationen haben bereits 16 der circa 30 informierten Firmen reagiert und die Lücke geschlossen. Eine Liste dieser Firmen hat das Institut im Internet bereitgestellt. Besonders schnell war dabei die Volkswagen Bank, sie schloss die Schwachstelle innerhalb eines Tages. Das Fraunhofer-Institut prüft jede Aktualisierung erneut. Entdeckt wurde die Schwachstelle während des Pilotbetriebes eines neuen Frameworks, mit dem die Sicherheit von Apps automatisch überprüft werden kann.

TÜV-Datenbank mit sicheren Apps

Wer sich über die Sicherheit einer App informieren möchte, dem sei ein Blick in die checkyourapp-Datenbank des TÜV Rheinland ans Herz gelegt. Der TÜV testet verschiedene Applikationen für Android, iOS und Windows Phone auf ihre Sicherheit. Bei der damaligen Ankündigung der Dienste lasen rund 40 Prozent der 500 getesteten Apps Daten aus, die nichts zur Funktionalität des Dienstes beitrugen. Insgesamt treffe dies auf geschätzt 30 Prozent der Apps zu. Sie würden den Datenklau zum Geschäftsmodell machen.

Mehr zum Thema Fraunhofer Institut