Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
1 Min Lesezeit 11 mal geteilt 15 Kommentare

Deutsche Universitäten attestieren Android mangelnde SSL-Sicherheit

In einer ausführlichen Studie der Universitäten Marburg und Hannover wurden 13.500 populäre Android-Apps auf Schwachstellen bezüglich des SSL-Verfahrens hin überprüft. 1.074 Apps, das sind 8 Prozent, stellten sich als potenziell anfällig für sogenannte MITM-Attacken heraus. MITM steht hierbei für "Man in the middle" - es handelt sich dabei um eine Attacke, bei der sich eine dritte Person mit Hilfe von technischen Hilfsmitteln in die Kommunikation zwischen Opfer und Server einklinkt. Mithilfe dieser Art von Attacke können Daten von Android-Geräten durch Einklinken in beispielsweise die Verbindung einer Online Banking Applikation auf einem Webserver und dem Android-Gerät abgefangen werden.Das Akzeptieren von beliebigen Webserver-Zertifikaten seitens der getesteten App erleichtert diese Vorgehensweise dabei erheblich. 

Ich würde bestimmt auch super ins AndroidPIT-Team passen!
Stimmst du zu?
50
50
322 Teilnehmer

Aus den 1.074 potenziell anfälligen Apps wählten die Forscher 100 Applikationen aus, die sie selbst MITM-Attacken unterwarfen. Sie konnten dadurch unter anderem Kreditkarten-, Google-, Twitter- und Bankkonto-Daten abrufen.

Laut der Studie handelt es sich bei den Apps, die die Forscher unter die Lupe genommen haben, um die populärsten kostenlosen Apps aus dem Google Play Store. Dass fast 10 Prozent dieser Applikationen nur mangelnde SSL-Sicherheitsmechanismen besitzen, wirft kein allzu gutes Bild auf das Thema Sicherheit unter Android. Die Namen der entsprechenden Apps wurden in der Studie nicht veröffentlicht.

(Bild: Gerd Altmann / pixelio.de)

Quelle: t3n.de

11 mal geteilt

15 Kommentare

Neuen Kommentar schreiben:

  • Geht es jetzt um die Sicherheit von Android, oder von (schlecht programmierten" Apps?

    SSL in Android falsch implementiert, oder nur App Fehler - ist schon ein großer Unterschied.

    Aber bei Pro7 ist Android ja auch von Samsung - darf man alles nciht mehr so eng sehen heute... ;)


  •   30

    Nicht schlimm? Das ist ein Skandal! Allerdings keiner, den man Android ankreiden. Vielmehr sind die Entwickler gefragt. Leider ist diese Erkenntnis nicht neu. Namhafte Apps waren schon betroffen. Von wegen Hobbyprogrammierer! Allein der Müll den WhatsApp fabriziert, zeigt dass Profis die Pfuscher sind. Facebook war auch früher peinlich!

    Es glaubt doch hoffentlich niemand von Euch, ein Virenscanner könnte Euch davor schützen!

    Google könnte die Apps auf korrekte Arbeitsweise bei der Zertifikatsprüfung testen. Aber ist das deren Aufgabe? Ich sehe das als ureigenste Aufgabe der Entwickler.


  • keine veröffentlichung bedeutet auch kein NENNENSWERTES Ergebnis...tut mir leid dass ist sogar für mich zu eitel. Ganz ehrlich: Jeder der mal was von Statistik gehört weiß um ihre Verwerflichkeit, und warum sagt sonst keine Uni (außer die 'berühmte" in Marburg) dass es so ein löchriges System wie Android sonst nirgends gibt?...logische Erklärung für mich: kein Geld mehr, also ein freies System wie Linux an den Pranger stellen (das schmerzt doch keinen wirklich). Ich hasse sowas...
    Android ist für mich das sicherste System auf diesem Planeten aufgrund seiner freien Entfaltung für den Anwender und somit auch dessen Sicherheit.

    Tut mir Leid Androidpit aber ich finde den Artikel nicht meiner bisherigen Würdigkeit euch gegenüber rechtens.

    in Verneigung Graf zu Neumufa


  • Ich habe selber noch nie verschlüsselte Werbebanner gesehen, auch wenn es aufgrund von personalisierter Werbung langsam angebracht wäre.
    Wer über den Provider surft und seine Verbindung nicht teilt ist relativ undurchsichtig unterwegs. Ich finde es dennoch wichtig, dass sich die Verbraucher mit solchen Themen auseinandersetzen.
    Die Studie schiesst etwas einseitig gegen Android, obwohl das Problem bei jedem OS besteht. Windows, Apple OS oder iOS Apps zeigen ebensowenig an, wie sicher ihre Verbindung ist.


  • sunny drews. Google doch einfach mal.


  • Ja ist schon schade, also da ist das Apple aber schon besser.. Ich bin aber kein Freund davon... Aber da hört man nicht so viel von. Oder!?


  • Das wundert mich nicht im geringsten. Zumeist sind es Hobbyprogrammierer die wenig Ahnung haben von Sicherheitslecks.


  • Es müssten mal Rechtsurteile gefällt werden wer denn für die Sicherheit Verantwortung trägt. Der Verbraucher, der Anbieter, der Vertreiber, der Hersteller oder wer auch immer. Nach meinem Verständnis kann das nicht am Verbraucher hängen bleiben da dieser in aller Regel mit überfordert ist.


  • Evtl. könnte man aber einen Blogeintrag schreiben, wie man sich einfach über VPN schützen kann.
    Die Computer Bild hat erst auch einen Artikel darüber gehabt und hat auch ein günstiges Angebot für einen VPN-Anbieter (wenn man nicht gerade eine Fritzbox zu Hause hat).


  • Und wieviele webseiten im internet sind gegen mitm attacken gefeit? Es ist nicht einfach sich in einen verbindungsaufbau zu hängen, wenn man das jedoch schon geschafft hat, dann ist das aufbrechen von jeder SSL verbindung quasi kinderkram. Grosse firmen betreiben das in der regel auch....wenn die ssl verbindung direkt am proxy terminiert wird kann man hinterbei im firmennetz alles unverschlüsselt mitlesen.
    Die sollten nicht immer nur studien machen was alles technisch möglich ist, sondern eher aufklären wie man das problem hervorruft: verbinden über wlan hotspots wo man nicht weiss ob da nicht ein transparenter proxy im weg hängt. In einem netzwerk unter deiner kontrolle ist es immer leicht schweinereien zu betreiben...


  • also mit den Kreditkarten und so ist das ärgerlich. Aber, ansonsten stellen doch die meisten eh alles über sich ins Internet auf Facebook oder G+, oder wie das ganze Zeug auch heißt... Und das sind dann meistens die jenigen, die sich am meisten darüber aufregen, wenn es um Datenklau geht (wobei man ja schlecht sagen kann, das die es meistens sind, da ja anscheinend 90% der Menschheit das nutzen)


  • Obwohl das jetzt nicht so schlimm ist sollten die zuständigen des Google Play Store schon drauf achten das genügend Sicherheit vorhanden ist. Allerdings ist nun auch nicht so das, falls sich ein Virus auf dem Smartphone befindet man es nicht merkt. Und einige sind auch in der Lage diesen Virus zu beheben sofern es denn ein Virus ist. Außerdem sollte auch jeder Smartphone Besitzer im klaren sein was er für Apps hat und was sich überhaupt alles “in seinem Smartphone abläuft“, gilt natürlich auf für alle PC Besitzer und was es nicht noch so alles gibt.


  • Naja, das ist jetzt aber nicht Android-Spezifisch und betrifft eigentlich jedes mobiles Gerät.
    Google lässt aber doch nur noch SSL zu.


  • Ich sach bloß dSploit und wifikill ;-)


  • wobei das mit Sicherheit nicht nur auf kostenlose Apps zutrifft

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!