SPIEGEL ONLINE

SPIEGEL ONLINE

22. Oktober 2012, 15:03 Uhr

Android-Sicherheitslücke

App-Entwickler schlampen bei der Sicherheit

Einige Android-Entwickler haben es mit der Sicherheit nicht so genau genommen und gefährden so Daten von Millionen App-Nutzern. Zu diesem Schluss kommen deutsche IT-Forscher nach einer Analyse von 13.500 beliebten kostenlosen Android-Apps.

In acht Prozent von insgesamt 13.500 untersuchten Apps fanden die Forscher der Uni Hannover und Uni Marburg bedenkliche Lücken im Umgang mit Sicherheitszertifikaten (PDF-Datei, 1,2 MB). Unter den 100 erfolgreichsten dieser Apps konnten sie in 41 Fällen die Machbarkeit eines besonders effektiven Hack-Angriffs nachweisen: dem sogenannten Man-in-the-Middle-Angriff. Dabei schaltet sich ein Hacker in die Kommunikation zwischen Smartphone und Internet-Server und kann unbemerkt Daten abhören und manipulieren.

Das gelang, weil viele Apps blind jedem Sicherheitszertifikat vertrauen, das man ihnen als angeblichen Sicherheitsausweis vorhält. Eine Nachlässigkeit der App-Entwickler, durch die sensible Kundendaten in Gefahr geraten.

In ihrem Testfall erbeuteten die Uni-Hacker so Kreditkarten- und Kontodaten, Zugangsdaten für Paypal, Facebook, E-Mail- und Chat-Dienste. Sie manipulierten etwa installierte Antivirus-Programme und schmuggelten eigenen Schadcode auf das Smartphone. Ob aber tatsächlich schon Hacker durch diese Sicherheitslücken gedrungen sind, ist nicht bekannt.

Die Sicherheitslücken in den manuell untersuchten Apps seien mittlerweile auch behoben, melden die Forscher. Grundsätzlich sei Nutzern zu empfehlen, auf die Nutzung von unsicheren W-Lan-Netzen zu verzichten. Grundsätzlich gilt: Wer mit seinem Handy in offenen W-Lan-Anwendungen surft und sensible Daten austauscht, geht damit ein Risiko ein.

Von der untersuchten Sicherheitslücke dürften laut der Wissenschaftler zwischen 39,5 und 185 Millionen Android-Kunden betroffen sein; dazu zählen auch die "10 bis 50 Millionen Kunden" eines "sehr bekannten plattformübergreifenden Messaging-Dienstes". Konkrete Apps werden aber nicht genannt.

App-Entwickler müssten laut der Untersuchung gar nicht so viel tun, um ihre Kunden besser zu schützen: Warnhinweise bei potentiell unsicheren Internetverbindungen, ein maschinelles Misstrauen gegen angeblich vertrauenswürdige Sicherheitszertifikate und grundsätzlich verschlüsselte Datenleitungen dürften die meisten dieser Angriffe vereiteln.

Vor allem aber müsste Aufklärungsarbeit bei den App-Entwicklern geleistet werden: "Wir brauchen eine bessere Ausbildung und einfachere Werkzeuge, um sicherer und einfacher Android-Apps entwickeln zu können", so die Forscher. Offenbar ist die Entwicklung sicherer Apps und damit der Schutz von Privatsphäre, Daten und des Eigentums der eigenen Kunden noch lange keine Selbstverständlichkeit.

fkn

URL:


© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung