Schwere Sicherheitsmängel bei Android-Apps

Android-Smartphones und die dazugehörigen Apps sind äußerst beliebt. Doch wie sieht es mit der Sicherheit bei der Verschlüsselung aus? Dies wollten Wissenschaftler der Leibniz Universität in Hannover und der Phillips Universität Marburg herausfinden. Dazu untersuchten sie die 13.500 populärsten Android-Apps. Das schockierende Ergebnis: Mehr als 1000 Apps wiesen fehlerhafte und unsichere Implementierung der SSL/TLS-Verschlüsselung auf.

Die Tests waren ziemlich umfangreich. Zuerst prüften die Wissenschaftler, ob die Apps echte Zertifikate erkennen. Sie führten gezielte Man-In-The-Middle-Attacken aus, um die verschlüsselten Verbindungen zu knacken. Das Resultat: Von den 100 getesteten Apps haben 20 Apps die Zertifikate überhaupt nicht geprüft. Weitere 21 Apps suchten nur nach einer gültigen Unterschrift, ließen dabei aber den richtigen Namen außer Acht. So konnten die Forscher mit einem gültigen Zertifikat die Antiviren-Software über einen eigenen Server austricksen.

Bei stichprobenartigen Tests an 100 ausgewählten Apps konnten 41 für konkrete Angriffe ausgenutzt werden. Die Wissenschaftler griffen darüber auf Bank- und Kreditkartendaten, Zugangs-Tokens für Facebook, E-Mail-Konten und Messaging-Services zu.

Ein Experiment gibt allerdings Anlass zum Schmunzeln. Als die Experten in die Android-App Zoner AntiVirus eine gefälschte Signatur einschleusten, reagierte sie sofort. Sie erkannte in sich selbst eine Bedrohung und empfahl die eigene Löschung.

Das eigens für die Analyse der App-Codes entwickelte Tool MallaDroid soll in Kürze veröffentlicht werden. Es zeigt allerdings nur, dass Apps betroffen sind, aber nicht welche. Harmlos ist das Ganze auf keinen Fall. Schätzungen zufolge haben Android-Nutzer 40 bis 185 Millionen Apps heruntergeladen, die konkret von den Lücken betroffen sind. Die ausführlichen Ergebnisse der Studie finden Sie unter dem Titel Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security.