Seit sechs Monaten ist die Sicherheitslücke schon bekannt: Die persönlichen Zugangsdaten tausender Android-Apps können ausgelesen werden.

Gefälschte Zertifikate

Internetbetrüger können mit gefälschten TLS-Zertifikaten verschlüsselte Verbindungen zu eigenen Servern aufbauen. Das Computer Emergency Response Team CERT der Carnegie Mellon Universität informierte die Entwickler bereits im September 2014 darüber. Bereits zu diesem Zeitpunkt waren mehr als 23.000 Apps betroffen. Bis heute sind auch viele populäre Anwendungen dahingehend nicht sicher.

Auch beliebte Apps aus dem Google Play Store sind unsicher

Die jüngste Untersuchung ergab, dass auch millionenfach genutzte Apps aus dem offiziellen Google Play Store diese Sicherheitslücke aufweisen. Darunter sind beispielsweise die Anwendungen Phone for Google Voice & GTalk, ES File Explorer File Manager, PicsArt oder Instachat. Eltern, die zur Überwachung ihrer Kinder die Anwendung Snap Secure nutzen, können den aktuellen Standort abfragen und über SMS und geführte Telefonate Informationen erhalten. Der Anbieter verspricht sichere Backups von Kontaktdaten, doch Snap Secure stellte sich nach Tests mit der frei erhältlichen Software Sammlung Burp als besonders anfällig für den Zugriff Cyberkrimineller heraus. Google erwähnt in seinem Jahresbericht zur Sicherheit von Android Apps die Behebung der Schwachstelle bei mehr als 25.000 Anwendungen.

Kostenloses Reparatur-Tool für iOS

Eine ähnliche Sicherheitslücke gibt es auch bei iOS-Anwendungen. Der Zugriff erfolgte über die (inzwischen behobene) fehlerhafte Implementation der Bibliothek AFNetworking vor der Version 2.5.3, wobei Domainnamen nicht in einem gültigen Zertifikat überprüft wurden. Wenn keine zusätzliche Schutzmaßnahme seitens der App greift, konnten Angreifer den verschlüsselte Datenstream auf eigene Server umleiten und auslesen. Mit dem Gratis-Tool des IT-Sicherheitsunternehmens SourceDNA können iOS-Nutzer den Fehler finden.