Die von den Wissenschaftlern des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) entdeckte SSL-Sicherheitslücke befindet sich unter anderem in Apps von Verlagen und anderen großen Organisationen sowie in Apps von Banken. Cyberkriminelle können das Leck zum Beispiel zum Raub von Zugangsdaten missbrauchen und damit unter Umständen beträchtlichen Schaden anrichten. Das Sicherheitsrisiko für die Nutzer richtet sich nach dem jeweiligen Anwendungszweck: Während bei mancher App lediglich die Manipulation der eigenen Foto-Bestände droht, lassen sich im Fall einer Banking-App die Zugangsdaten unter Umständen auch für unberechtigte Überweisungen oder andere Manipulationen des Bankkontos nutzen. Als besonders hoch stufen die Forscher das Risiko bei Apps sein, die Single-Sign-On beispielsweise zu den Google- oder Microsoft-Diensten nutzen, denn dort werden die Zugangsinformationen für eine Vielzahl von Diensten wie E-Mail, Cloud- Speicher oder Instant Messaging angewendet.
Das gefundene Sicherheitsloch wird durch eine fehlerhafte Verwendung des Secure Socket Layer-Protokolls (SSL) verursacht. Das Protokoll zur Absicherung von Internet-Verbindungen setzt die korrekte Prüfung der verwendeten Echtheitszertifikate der angesprochenen Server voraus. Diese Prüfung ist bei den betroffenen Apps jedoch falsch umgesetzt. »Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit«, sagt Dr. Jens Heider vom Fraunhofer SIT. Um an die Zugangsdaten zu gelangen, müssen Angreifer zum Beispiel nur die Kommunikation beim Surfen über WLAN manipulieren. Das funktioniert überall dort relativ leicht, wo die WLAN-Kommunikation unverschlüsselt ist, wie zum Beispiel an öffentlichen Hotspots in Flughäfen, Hotels und Restaurants. Gerade in diesen Situationen soll die SSL-Verschlüsselung eigentlich die Kommunikation schützen.
Von dem Leck betroffen sind die Apps von über 30 Unternehmen, die bereits von den Wissenschaftlern informiert und um die Beseitigung der Schwachstelle gebeten worden sind. »Die Lücke ist prinzipiell ganz einfach zu schließen«, so Heider. Bisher haben 16 Anbieter reagiert und die Sicherheitslücke geschlossen. Zu diesen Firmen gehören unter anderem Apps von Amazon, Spiegel Online, Lidl und der Volkswagen Bank. Auf ihrer Webseite stellen die Fraunhofer-Mitarbeiter Unter steht eine Liste der Apps zur Verfügung, für die es bereits Sicherheits-Updates gibt und empfehlen Anwendern dringend, die entsprechenden Updates durchzuführen.
Quelle: www.CRN.de
