Security

Fraunhofer SIT entdeckt schwere SSL-Sicherheitslücke in Android-Apps

Beliebte Android-Apps von Amazon, Spiegel Online, Lidl, Tchibo, Yahoo & Co. sind laut Fraunhofer SIT von einem schweren SSL-Fehler betroffen, der es Angreifern ermöglicht, Zugangsdaten zu stehlen. Für einen Teil der Apps gibt es inzwischen Updates.

09.12.2013, 19:13 Uhr
Smartphone© goodluz / Fotolia.com

Für das weltweit führende Smartphone-Betriebssystem Android gibt es hunderttausende Apps im Google Play Store. Allerdings schlägt das Darmstädter Fraunhofer-Institut für Sichere Informationstechnologie jetzt Alarm und warnt vor einem schwerwiegenden SSL-Sicherheitsfehler, der viele beliebte Android-Apps betreffen soll, darunter auch die mobilen Anwendungen von Banken, Verlagen und anderen großen Organisationen.

Kleiner Fehler mit großen Auswirkungen

Im Testlabor stellten die Fraunhofer SIT-Mitarbeiter fest, dass Angreifer aufgrund einer falschen Implementierung des Secure Socket Layer-Protokolls (SSL) Zugangsdaten stehlen können. "Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit", betont Jens Heider vom Fraunhofer SIT. Über 30 betroffene Unternehmen seien bereits informiert worden, reagiert hätten bislang aber nur 16 davon und die Sicherheitslücke geschlossen. Fraunhofer SIT rät daher den Nutzern der Apps, die Anwendungen umgehend zu aktualisieren.

Online informiert das Institut Verbraucher unter www.sit.fraunhofer.de/app-security-list über die Apps, für die bereits Sicherheitsupdates bereitstehen. Darunter finden sich beispielsweise auch die Anwendungen von Amazon, Spiegel Online, Lidl, Tchibo, Yahoo, Mein Base oder der Volkswagen Bank. Gerade im Fall von Banking-Apps könnten die Zugangsdaten für eine Manipulation des Bankkontos benutzt werden, hier ist somit besondere Eile und Vorsicht geboten. Die Volkswagen Bank hatte daher bereits innerhalb eines Tages ein Update bereitgestellt. Auch bei Google- oder Microsoft-Diensten bestehe laut den Mitarbeitern von Fraunhofer SIT ein größeres Risiko, da der Zugang zu den verschiedenen Diensten wie E-Mail, Cloud-Speicher oder Instant Messaging per Single-Sign-On erfolge.

Vorsicht bei WLAN-Nutzung an öffentlichen Hotspots

Gerade wenn die WLAN-Kommunikation unverschlüsselt verläuft wie beispielsweise an öffentlichen Hotspots in Flughäfen, Hotels und Restaurants könnten Angreifer die Kommunikation beim Surfen manipulieren. Die SSL-Verschlüsselung sollte dann eigentlich schützen, versagt aufgrund der Schwachstelle aber. "Die Lücke ist prinzipiell ganz einfach zu schließen", betont Heider. Die Hersteller der Apps seien bereits vor mehreren Wochen über den Fehler informiert worden.

(Jörg Schamberg)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang