Fraunhofer SIT: Massive Sicherheitsprobleme im Zusammenhang mit Apps

16/12/2013 - 23:35 von Business Wire
Fraunhofer SIT: Massive Sicherheitsprobleme im Zusammenhang mit Apps
Fraunhofer SIT: Massive Sicherheitsprobleme im Zusammenhang mit Apps

Viele beliebte Android-Apps bergen erhebliche Sicherheitsrisiken in sich. Zu diesem Schluss kamen Forscher am Fraunhofer Institut für Sichere Informationstechnologie in Darmstadt (Fraunhofer SIT). Angreifer können sensible Zugriffsdaten wie Benutzernamen und Kennwörter stehlen, indem sie die Schwachstellen des Secure Sockets Layer (SSL)-Protokolls ausnutzen. Fraunhofer SIT hat über 30 betroffene App-Hersteller informiert und bisher haben 16 von ihnen die Sicherheitslücke geschlossen. Zu diesen zählen Amazon, Yahoo, Google und die Volkswagen Bank. Eine Liste aller Apps mit Sicherheitsupdates findet sich unter www.sit.fraunhofer.de/en/appsecuritylist.

Apps may pose a security risk (Photo: Business Wire)

Apps may pose a security risk (Photo: Business Wire)

Das Sicherheitsrisiko des Nutzers hängt von der jeweiligen App ab: Während bei manchen Apps vielleicht nur persönliche Fotos gefährdet sind, könnte bei Banking-Apps der Zugriff für unberechtigte Banküberweisungen missbraucht werden. Insbesondere im Falle von Einmalanmeldungen wie bei Google oder Microsoft können schwerwiegende Sicherheitsprobleme auftreten, weil Zugriffsdaten für diverse Dienste wie E-Mail und Cloud-Speicherung genutzt werden.

Die Anfälligkeit für Sicherheitsprobleme geht auf die inkorrekte Verwendung von SSL zurück. SSL schützt kryptografisch die Verbindung zwischen Apps und Servern. Dieser Schutz basiert auf den sogenannten Public-Key-Zertifikaten. Bei Eingang eines Zertifikats sollten Apps überprüfen, dass dieses tatsächlich zu dem Server gehört, mit dem sie kommunizieren wollen. Die Forscher stellten fest, dass diese Verifizierung in den aufgelisteten Apps nicht korrekt durchgeführt wird. „Aus technischer Perspektive handelt es sich nur um einen kleinen Fehler, der jedoch zu enormen Sicherheitsbedrohungen führen kann”, so Dr. Jens Heider vom Fraunhofer SIT. Zum Beispiel muss ein Angreifer nur die Kommunikation manipulieren, die stattfindet, während das Opfer über eine ungeschützte WLAN-Verbindung surft, etwa auf dem Flughafen oder in einem Restaurant. Genau in diesen Situationen sollte die SSL-Verschlüsselung eine sichere Kommunikation gewährleisten.

„Prinzipiell lässt sich die Anfälligkeit sehr leicht beheben”, meint Heider. Bereits vor mehreren Wochen hat er zusammen mit seinem Team die Hersteller darüber informiert und sie gebeten, die Schwachstellen zu beheben. Das Team hat sämtliche neue Updates überprüft. „Nutzer müssen ihre Apps ständig auf die neueste Version aktualisieren”, empfiehlt Heider. Die Anfälligkeit wurde im Rahmen der Pilotphase von „Appicaptor” festgestellt, das neue Testwerkzeug für App-Sicherheit von Fraunhofer SIT, das automatisch die Sicherheit von Apps überprüft. Fraunhofer SIT hat insgesamt 2.000 Android-Apps getestet.

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.

Contacts :

Fraunhofer SIT
Oliver Küch, +49 6151 869-213
Abteilungsleiter, Kommunikation & Marketing
oliver.kuech@sit.fraunhofer.de
http://www.sit.fraunhofer.de


Source(s) : Fraunhofer SIT