Forscher der Leibniz-Universität Hannover und der Philips-Universität Marburg haben die populärsten Android-Apps analysiert und dabei erschreckende Mängel in der Verschlüsselung gefunden.
Wer ein Smartphone mit Android-Betriebssystem nutzt und auch mobil sensible Daten per Onlinebanking-App und Co. kommuniziert, sollte das vielleicht nochmals überdenken. In der von deutschen Forschern durchgeführten Analyse wurden 13.500 der populärsten Apps untersucht, und in mehr als 1.000 davon wurden Anzeichen für mangelhafte Verschlüsselungen per SSL/TLS gefunden.
Im Detail: Von 100 ausgewählten Apps waren ganze 41 davon anfällig für Angriffe, sodass die Forscher sogar sensible Daten zu Kreditkarten und Bankverbindungen, sowie Zugangstokens für eMail- und Messaging-Accounts und Facebook-Konten erhielten. Von den 41 Apps akzeptierten 20 jede Signatur, und die restlichen 21 überprüften zwar die Gültigkeit der Unterschrift, aber nicht, auf welchen Namen die Signatur ausgestellt wurde.
Der Antivirus-App Zoner AntiVirus konnten die Forscher sogar eine gefälschte Signatur unterjubeln, die auf sie selbst passte – daraufhin erkannte sich Zoner AntiVirus selbst als Bedrohung und bot an, sich zu löschen.
Im Paper “Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security” fassen die Forscher ihre Erkenntnisse zusammen – welche Apps betroffen sind, wurde allerdings bisher nicht veröffentlicht. Diese sollen allerdings mit 40 bis 185 Millionen Installationen via Google Play weit verbreitet sein.
No Comments