18.10.2012 18:50
Verschlüsselung bei vielen Android-Apps mangelhaft
Peinliche Konsequenz mangelhafter Verschlüsselung: Wegen einer gefälschten Signatur will sich die Antiviren-Software selbst löschen.
Bild: Fahl, Harbach, Muders, Smith, Baumgärtner, Freisleben
Bei einer Analyse von Android-Apps, die Verschlüsselung einsetzen, fanden Forscher katastrophale Zustände vor: Mehr als 1000 der 13.500 populärsten Apps zeigten Anzeichen für eine fehlerhafte und unsichere Implementierung der SSL/TLS-Verschlüsselung. Tests mit 100 ausgewählten Apps bestätigten, dass davon immerhin 41 anfällig für konkrete Angriffe waren. Dabei fielen den Forschern außer Bank- und Kreditkartendaten auch Zugangs-Tokens für Facebook, E-Mail-Konten und Messaging-Services in die Hände.
In einem besonders plakativen Test schoben die Forscher Zoner AntiVirus für Android eine gefälschte Signatur unter, die auf die App selbst passte. Daraufhin stufte die sich auch prompt selbst als Bedrohung ein und bot die eigene Löschung an.
Die Forscher untersuchten zunächst den Code der Apps statisch nach typischen Anzeichen für unzureichende Überprüfung der Zertifikate, die die Identität des Kommunikationspartners bestätigen müssen. Da nicht eindeutig klar ist, ob der dabei gefundene Code tatsächlich zum Einsatz kommt, führten sie danach explizit Man-In-The-Middle-Attacken durch, um die verschlüsselte Verbindung aufzubrechen.
Die dabei gefundenen Anfälligkeiten lassen sich in zwei Kategorien einteilen: 20 Apps akzeptierten einfach jedes Zertifikat. 21 weitere kontrollierten zwar, ob das Zertifikat eine gültige Unterschrift trägt, nicht jedoch, ob es auf den richtigen Namen ausgestellt ist. So konnten die Sicherheitsexperten mit einem gültigen Zertifikat für einen eigenen Server die Antiviren-Software narren. In einem c't-Test entdeckte heise Security vor zwei Jahren das gleiche Problem bei der iPhone-App S-Banking.
Die Forscher von der Leibniz Universität in Hannover und der Phillips Universität Marburg fassen ihre Erkenntnisse in dem Paper Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security zusammen. Das für die Code-Analyse entwickelte Tool MallaDroid wollen sie demnächst veröffentlichen. Welche Apps konkret betroffen sind, verraten sie jedoch nicht. Aber anscheinend handelt es sich dabei nicht um Exoten: Immerhin 40 bis 185 Millionen Installation weist Google Play für die von den Lücken konkret betroffenen Apps aus.
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
