Android: Fiese Sicherheitslücke bedroht auch Online-Banking

Um eine sichere, SSL-verschlüsselte Verbindung zu einem Server mit einer App herzustellen, müssen entsprechende SSL-Zertifikate zwischen den Rechnern ausgetauscht und abgeglichen werden. Bei einigen Android-Apps ist nun innerhalb dieser Routine ein Fehler aufgetreten, der auf eine Vielzahl weiterer Programme zutreffen kann.

Knapp zweitausend Programme, Apps, haben die Forscher vom Fraunhofer Institut auf ihre SSL-Prüfungsroutinen hin untersucht und immerhin rund 30 betroffene gefunden. Zu diesen gehöre laut Golem.de Amazon MP3, Banking von Volkswagen, Chat-on von Samsung, Flickr, Lidl, Music von Telekom, Spiegel Online und Yahoo Mail und andere. Etwa die Hälfte der 30 App-”Hersteller” haben allerdings auch schon reagiert und die SSL-Routine überarbeitet.

Wie das Fraunhofer Institut weiter erläutert, ermögliche die fehlerhafte Zertifikats-Überprüfung den Diebstahl von Zugangsdaten und Passwörtern, zumindest in offenen WLANs; andere Daten werden da kaum sicherer sein. Der Fehler sei relativ leicht zu beheben, heisst es weiter, wieviele der abertausend weiteren Apps betroffen sind, lässt sich jedoch nicht sagen.

Das soll sich aber in Zukunft ändern, denn die Untersuchung wurde mit dem Ziel angestossen, ebensolche Apps ausfindig zu machen und zu bannen, um diese Aufgabe demnächst an einen technischen Dienst übergeben zu können. Hat dieser “Appicaptor” die entsprechenden Apps dann erstmal gebannt, werden sich deren Hersteller schon “kümmern”.