Zahlreiche Android-Apps lassen sich ausspionieren – immer noch

Eine bereits ein halbes Jahr alte Sicherheitslücke kann in unzähligen Android-Apps immer noch als Einfallstor für Angreifer dienen. Dabei können Cyber-Kriminelle betroffenen Apps gefälschte TLS/SSL-Zertifikate unterjubeln und sich als Man in the Middle in Verbindungen einklinken. In dieser Position sind Nutzerdaten wie etwa E-Mails und Passwörter eine leichte Beute. Das haben Professor Sam Bowne vom City College San Francisco und seine Studenten herausgefunden.

Der Fehler wurde bereits im September vergangenen Jahres durch das Carnegie-Mellon-CERT (Computer Emergency Response Team) entdeckt. Zu diesem Zeitpunkt sprechen die Sicherheitsforscher von über 23.000 betroffenen Apps. Bowne rollte den Fall nun wieder auf, als er mithilfe der Sicherheits-Test-Anwendung Burp feststellte, dass die App Snap Secure immer noch gefälschte Zertifikate akzeptiert, was weitere Prüfungen nach sich zog.

Im Zuge der Untersuchung fanden Bowne und seine Studenten heraus, dass unter anderem der Astro File Manager (über 50 Millionen Downloads) und Instachat (über fünf Millionen Downloads) betroffen sind. Bowne zufolge wurden die Entwickler des Astro File Manager bereits im November vergangenen Jahres vom CERT über die Sicherheitslücke informiert; nach dem letzten Update vom vergangenen Wochenende klaffe die Lücke aber noch immer. Auch das Picsart Photo Studio soll für Spionage anfällig sein und da sich die App mit Facebook, Twitter und Google+ verbinden kann, könnten Angreifer die jeweiligen Log-in-Daten auslesen.

Ein Man-in-the-Middle-Angriff ist jedoch mit nicht unerheblichem Aufwand verbunden. In einem öffentlichen WLAN gelingt ein Übergriff einfacher als im heimischen Netzwerk, da der Attackierende sich hier erst mal in das eigene WLAN hacken muss.

Android gerät immer wieder in die Kritik, wenn es um die fehlerhafte Validierung von Zertifikaten geht. (des)