Android-Apps mit falscher SSL-Implementierung: Entwickler informiert, die Hälfte besserte nur nach

Ein Fehler in der Implementierung der SSL-Verschlüsselung in Android-Apps ermöglicht es Angreifern, Eingaben von Nutzern abzugreifen. Dies stellte das Fraunhofer Institut für sichere Informationstechnologie fest und informierte auch die betroffenen Unternehmen. Über 30 wurden über den leicht zu behebenden Fehler informiert, lediglich 16 besserten in ihrer App bereits nach.

App Berechtigungen Android

Der mögliche Schaden für den Nutzer hängt von der jeweiligen App ab. Während es bei einer Fotoverwaltung vielleicht zur Einsicht in private Aufnahmen kommt, kann das Abfangen der Login-Daten für eine Banking-App weitreichendere Folgen haben. Die Liste der Apps, die bereits nachgebessert wurden, zeigt, dass auch Branchengrößen wie Google oder Amazon den Fehler in ihre Apps eingebaut hatten.

Besonders gefährlich wird so etwas, wenn dies bei Apps mit Single-Sign-On vorkommt. Einmal die Login-Daten abgegriffen, erlangt man so gleich Zugriff auf mehrere Dienste. Warum allerdings nicht alle Unternehmen sofort reagiert haben, ist mir schleierhaft. Bereits vor einigen Wochen wurden diese informiert. Eine Liste, welche Apps aktuell noch betroffen sind, gibt es allerdings nicht.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

4 Kommentare

  1. Wäre es nicht viel spannender eine Liste der Apps zu haben, bei denen nicht nachgebessert wurde? So ist es allenfalls interessant, hilft dem User aber nicht wirklich :/

  2. Da hätten die Kollegen vom SIT wirklich mal die betroffenen Apps veröffentlichen sollen. Aber evtl. Möchten die den Entwicklern noch etwas Zeit geben?

  3. Ich stimme Micro zu, so eine Liste würde frühzeitig warnen und helfen!

  4. Ja, allerdings würde so eine Liste auch gleich den Leuten helfen, die dann gezielt diese Apps angreifen könnten. Und es werden definitiv nicht alle User das rechtzeitig erfahren und auf andere Apps umsteigen können.
    Das ist wie einen hungrigen Löwen auf eine Meute loslassen, aber nur irgendwo an ein Brett eine Notiz klemmen, dass der Löwe euch jetzt jagt…

    Früher oder später gehören solche Entwickler an den Pranger gestellt, aber sowas darf man nicht leichtfertig und verfrüht unternehmen, weil man mit dem an-den-Pranger-stellen auch gleichzeitig unschuldige mit angreift.