Android-Apps mit SSL-Lücken
Der Datenverkehr einiger Android-Apps ist zwar verschlüsselt, aber leicht zu knacken. Das Fraunhofer-SIT entdeckte Krypto-Patzer in bekannten Banking-, Mail- und Chat-Programmen.
- Ronald Eikenberg
Zahlreiche Smartphones-Apps kommunizieren zwar verschlüsselt, lassen sich aufgrund von Programmierfehlern aber trotzdem belauschen. Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat 2000 Android-Apps systematisch getestet und konnte bei immerhin mehr als 30 die SSL-Verschlüsselung knacken.
Die Forscher schleusten den Datenverkehr der Apps durch einen Analyseproxy, der den Apps im einfachsten Fall ein selbst signiertes Zertifikat vorsetzte, wie es auch Angreifer leicht erstellen können. Einige der Apps akzeptierten das Zertifikat, wodurch sich das Analysesystem in die Verbindung einklinken und zum Beispiel Login-Daten im Klartext mitschneiden konnte.
Normalerweise sollten Apps nur Zertifikate akzeptieren, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurden. So können sie überprüfen, dass das Gegenüber, mit dem die verschlüsselte Verbindung ausgehandelt werden soll, auch tatsächlich derjenige ist, für den es sich ausgibt. Einige Apps gehen noch einen Schritt weiter und überprüfen, ob der Fingerprint des vorgesetzten Zertifikats auf einer Whitelist steht oder ob es zumindest von einer bestimmten CA ausgestellt wurde.
Bei den als anfällig identifizierten Apps findet offenbar keine Überprüfung statt. Sie akzeptieren einfach jedes vorgesetzte Zertifikat – ganz egal, wer es ausgestellt hat. Ein Angreifer, der etwa in einem öffentlichen Netz wie einem Hotspot den Datenverkehr über sich umleitet, kann dadurch mit geringen Aufwand in den SSL-Traffic schauen.
Fraunhofer hat die Entwickler der betroffenen Apps informiert, jedoch nur in rund der Hälfte der Fälle eine Antwort erhalten. Anfällig waren etwa Amazons MP3-App, die Banking-App von Volkswagen Financial Services, Flickr, Samsungs Chatdienst ChatON sowie Yahoo Mail. Diese Apps stehen bereits in abgesicherten Versionen bei Google Play zum Download bereit. Eine Liste findet man bei Fraunhofer. Diese enthält allerdings nur die bereits abgesicherten Apps. Wann und ob die übrigen Kandidaten bekanntgegeben werden, ist derzeit noch nicht geklärt, wie das SIT gegenüber heise Security erklärte. (rei)
