19.10.2012
Sicherheit
Schwere Sicherheitsmängel bei Android-Apps
Autor: Thorsten Eggeling
Forscher haben bei einer Untersuchung herausgefunden, dass Tausende Android-Apps bei der Verschlüsselung und der Überprüfung von Zertifikaten völlig unzureichend bis gar nicht vor Hackangriffen schützen.
Android-Smartphones und die dazugehörigen Apps sind äußerst beliebt. Doch wie sieht es mit der Sicherheit bei der Verschlüsselung aus? Dies wollten Wissenschaftler der Leibniz Universität in Hannover und der Phillips Universität Marburg herausfinden. Dazu untersuchten sie die 13.500 populärsten Android-Apps. Das schockierende Ergebnis: Mehr als 1000 Apps wiesen fehlerhafte und unsichere Implementierung der SSL/TLS-Verschlüsselung auf.
Die Tests waren ziemlich umfangreich. Zuerst prüften die Wissenschaftler, ob die Apps echte Zertifikate erkennen. Sie führten gezielte Man-In-The-Middle-Attacken aus, um die verschlüsselten Verbindungen zu knacken. Das Resultat: Von den 100 getesteten Apps haben 20 Apps die Zertifikate überhaupt nicht geprüft. Weitere 21 Apps suchten nur nach einer gültigen Unterschrift, ließen dabei aber den richtigen Namen außer Acht. So konnten die Forscher mit einem gültigen Zertifikat die Antiviren-Software über einen eigenen Server austricksen.
Bei stichprobenartigen Tests an 100 ausgewählten Apps konnten 41 für konkrete Angriffe ausgenutzt werden. Die Wissenschaftler griffen darüber auf Bank- und Kreditkartendaten, Zugangs-Tokens für Facebook, E-Mail-Konten und Messaging-Services zu.
Ein Experiment gibt allerdings Anlass zum Schmunzeln. Als die Experten in die Android-App Zoner AntiVirus eine gefälschte Signatur einschleusten, reagierte sie sofort. Sie erkannte in sich selbst eine Bedrohung und empfahl die eigene Löschung.
Das eigens für die Analyse der App-Codes entwickelte Tool MallaDroid soll in Kürze veröffentlicht werden. Es zeigt allerdings nur, dass Apps betroffen sind, aber nicht welche. Harmlos ist das Ganze auf keinen Fall. Schätzungen zufolge haben Android-Nutzer 40 bis 185 Millionen Apps heruntergeladen, die konkret von den Lücken betroffen sind. Die ausführlichen Ergebnisse der Studie finden Sie unter dem Titel Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security.
Tablets
Apple zeigt die neuen iPad Air und iPad Pro
Das iPad Pro bekommt einen schnelleren Prozessor und erstmals ein OLED-Display. Das iPad Air ist erstmals zusätzlich zum 11-Zoll-Modell auch mit 13-Zoll-Display erhältlich.
>>
GigaTV Home Sound
Vodafone bringt eine TV-Box mit integrierten Lautsprechern
Bisher gab es bei Vodafone getrennte TV-Boxen für Kabel- und IPTV-Kunden. Die neue Generation von GigaTV bietet beide Zugänge, dazu kommt eine Version mit integrierten Lautsprechern.
>>
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
Feature Phones
HMD bringt drei neue Nokia-Handys
HMD bringt unter seiner Markenlizenz von Nokia die Tastenhandys 215 4G, 225 4G und 235 4G in klassischer Bartype-Bauweise. Neben bunten Farben sollen sie lange Akkulaufzeiten bieten.
>>