Android-Apps erlauben Zugriff auf Passwörter
"Wir konnten Bank-Daten, die Login-Daten für PayPal, die Kreditkartennummern von American Express auslesen", gaben die Sicherheitsforscher der Leibnitz Universität of Hannover aus Deutschland und der Marburg Universität an. "Weiters wurden die Passwörter von E-Mail-Diensten, Facebook und Cloud-Hosting-Diensten geleakt. Wir konnten außerdem auf die IP-Kameras zugreifen und konnten Apps installieren und deinstallieren."
Die Forscher haben insgesamt 13.500 kostenlose Apps runtergeladen und mittels SSL analysiert, um sogenannte "Man-in-the-Middle"-Angriffe durchzuführen. Acht Prozent der untersuchten Apps, also rund 1000, waren für derartige Angriffe über öffentliche WLAN-Netze anfällig.
Massive Verfehlungen auch bei beliebten Apps
Die Sicherheitsforscher haben sich daraufhin weitere 100 Apps der Anfälligen rausgesucht, um sie genauer zu analysieren und zu testen. Darunter befand sich beispielsweise eine Anti-Virus-App, die ungültige Zertifikate akzeptiert hat. Die Forscher konnten auf diesem Weg ihre eigene manipulierte Signatur einschmuggeln. Eine weitere App, die von bis zu fünf Millionen Android-Nutzern installiert wurde, bezeichnet sich selbst als "einfach und sicher", um Cloud-basierte Daten rauf- und runterzuladen. Dabei konnten die Login-Daten aufgrund von mangelnder Verschlüsselung einfach abgegriffen werden.
Die Namen der Apps, die von den Sicherheitslücken betroffen sind, veröffentlichten die Forscher nicht. "Es versteht sich von selbst, dass Sicherheit bei App-Entwicklern nicht an erster Stelle steht", so Jon Oberheide, CTO von der Sicherheitsfirma Duo Security zu ArsTechnica. "Es ist aber wichtig und gut, dass Forscher den Entwicklern diese einfachen Sicherheitslücken aufzeigen, die es eigentlich niemals durch einen ordentlichen QA-Check des Store-Betreibers schaffen dürften", fügt Oberheide hinzu.