Schwere Sicherheitslücke in Android-Apps

Das Fraunhofer-Institut für sichere Informationstechnologie (SIT) hat ein schwerwiegendes Sicherheitsleck in zahlreichen Android-Apps entdeckt. Betroffen sind unter anderem die Apps von mehreren Online-Diensten wie Amazon MP3, Flickr, Google und Yahoo, Banken wie die Volkswagen Bank, Verlagen wie den Spiegel sowie Telekommunikationsunternehmen wie die Deutsche Telekom.

Je nach App lassen sich von einem Angreifer Bilder manipulieren oder die Zugangsdaten zu Online-Diensten abgreifen. Bei einer Banking-App kann ein Angreifer nicht nur sehen, was man so auf dem Konto hat, sondern unter Umständen sogar Überweisungen manipulieren.

Bei der Sicherheitslücke handelt es sich um eine fehlerhafte Implementierung des SSL-Protokolls. SSL (Secure Socket Layer) ermöglicht das Verschlüsseln von Internetverbindungen. Der bekannteste Einsatzzweck der SSL-Verschlüsselung sind zum Beispiel Banking-Webseiten. Diese erkennen Sie daran, dass die Internetadresse mit „https://“ beginnt.

SSL setzt die korrekte Überprüfung von Echtheitszertifikaten voraus. Damit stellt eine App sicher, dass es nicht mit einer gefälschten Seite Daten austauscht. Diese Überprüfung ist in den betroffenen Apps laut dem Fraunhofer-Institut fehlerhaft umgesetzt. Um die verschlüsselten Daten abzugreifen, müsse ein Angreifer zum Beispiel lediglich die Kommunikation über ein WLAN manipulieren. Das ist etwa in öffentlichen Hotspots besonders leicht, denn diese nutzen oftmals keine Verschlüsselung.

Das Fraunhofer-Insitut hat über 2.000 Android-Apps getestet. Bereits vor mehreren Wochen wurden 30 betroffene Unternehmen über das Sicherheitsleck in ihren Apps informiert. Bislang haben 16 Unternehmen reagiert und das Leck geschlossen.

Zu den bereits geflickten Apps gehören die Programme von A.T.U., Amazon MP3, die Volkswagen Bank, Flickr, Lidl, Mein Base, Spiegel Online, Tchibo und Yahoo Mail. Wenn Sie eine App nutzen, bei der das SSL-Leck bereits geschlossen wurde, dann reicht es aus, wenn Sie die App aktualisieren.

Eine Liste der betroffenen Apps stellt das Fraunhofer-Institut nicht zur Verfügung — es gibt lediglich eine Liste von Apps, in denen die Sicherheitslücke bereist geschlossen wurde. Die Liste finden Sie hier.

Generell sollten Sie bei öffentlichen und unverschlüsselten WLANs vorsichtig sein und darüber zum Beispiel keine Bankgeschäfte erledigen. Damit sind die schon recht sicher im Internet unterwegs.

Sensible Daten sollten Sie vom Smartphone oder Tablet-PC grundsätzlich nur über sichere Funknetze oder über das Mobilfunknetz übertragen. Das Manipulieren von Datenverbindungen ist über das  Mobilfunknetz deutlich komplizierter als über WLANs.

Das Fraunhofer-Institut hat über 30 Unternehmen kontaktiert — doch auch nach mehreren Wochen haben viele Unternehmen nicht reagiert und ihre Apps abgesichert. Das es auch anders geht, zeigt zum Beispiel die Volkswagen Bank: Sie hat nach Angaben des Fraunhofer-Instituts bereits nach einem Tag eine abgesicherte Version ihrer App veröffentlicht.