Freak-Attacke: Viele Android- und iOS-Apps weiter gefährdet

19. März 2015, 12:00
7 Postings

Passwörter und Bankdaten könnten mitgelesen werden - Hersteller reagieren nur langsam

Im Vergleich zu früheren OpenSSL-Lücken wie Heartbleed sind die Auswirkungen der vor einigen Wochen aufgetauchten Freak-Attacke vergleichsweise begrenzt. Dies liegt nicht zuletzt daran, dass für einen Angriff sowohl Client als auch Server verwundbar sein müssen, und mittlerweile viele Browser-Hersteller mit Updates die entsprechende Lücke abgedichtet haben.

Mobile Probleme

Allerdings zeigt Freak auch gut, dass es bei Lücken in zentralen Bibliotheken nicht mit Updates des Desktop-Browser getan ist. So warnt der Sicherheitsdienstleister FireEye nun vor Freak-Angriffen gegen Android- und iOS-Apps.

Überprüfung

Das Unternehmen hat sich die Top-Apps unter den beiden mobilen Betriebssystemen angesehen, und dabei Unerfreuliches zutage gefördert: Unter jenen Apps, die auf Google Play mehr als eine Million Downloads haben, finden sich stolze 1.228, die für eine solche Attacke anfällig sind. Unter iOS sieht die Situation kaum besser aus: Von den topgereihten 14.079 Apps sind immerhin 771 anfällig.

Angriff

Dies bedeutet, dass Dritte über einen gezielten Angriff sensible Daten mitlesen können. Möglich wird dies, da die Apps eine verwundbare Version einer Crypto-Bibliothek benutzen und die Hersteller gleichzeitig ihre Server nicht abgesichert haben. Besonders unerfreulich: In der Liste finden sich auch zahlreiche Finanz-Apps, neben Passwörtern sind also auch Bankdaten gefährdet.

Update

Zumindest hat FireEye nicht nur schlechte Nachrichten: So lässt sich unter iOS durch ein Systemupdate - auf iOS 8.2 - das Problem weitgehend beseitigen. Aus der Liste verbleiben dann nur mehr sieben Apps, die weiter verwundbar sind, da sie eine eigene Crypto-Bibliothek verwenden.

Android

Unter Android ist das statische Einbinden von Bibliotheken hingegen deutlich weiter verbreitet, fast die Hälfte (554) der entdeckten Apps nutzen eine eigene OpenSSL-Version. Alle anderen müssen wiederum auf ein Sicherheitsupdate für das Betriebssystem hoffen. Das gibt es zwar mittlerweile in Form von Android 5.1, dieses ist aber noch kaum verbreitet, selbst Google hat noch kein Update für sämtliche Nexus-Geräte geschmiedet.

Alles relativ

Für Massenangriffe ist die Freak-Attacke an sich nicht geeignet, da das Knacken eines Schlüssels mehrere Stunden benötigt. Entsprechend sind auch bisher keine Attacken im großen Stil bekannt geworden. (apo, 19.3.2015)

  • Ein Angriff gegen eine der verwundbaren Apps offenbar sensible Informationen.
    grafik: fireeye

    Ein Angriff gegen eine der verwundbaren Apps offenbar sensible Informationen.

Share if you care.