Antworten

Letztes Monat führte FireEye eine erneute Sicherheits-Prüfung der Google PlayStore Apps durch.

Aus dieser Überprüfung ergibt sich, dass "noch" immer ~11,2% der Apps, die über 1 Million Downloads haben, von der "Freak-Sicherheitslücke" betroffen sind.

Anhang 51505

Eigentlich wäre die Behebung der Sicherheitslücke sehr schnell und unkompliziert durchführbar laut FireEye.
Denn die Apps verbinden sich meist nur mit einem oder zwei Server.
Es würde daher ausreichen wenn jeder Entwickler die Sicherheitslücken auf den Servern schließen würden.

Wir sind gespannt, wann Google oder aber auch die Entwickler die "OpenSSL-Sicherheitslücke" schließen / unterbinden werden. WIR halten EUCH auf den laufenden....

WEITERES:
FireEye presentation [pdf] at RSA

LG anonymus

Krass!!!

Ich hoffe das derartige Sicherheitslücken auch in Zukunft sehr rasch geschlossen werden. Solche Lücken verringern die mobile Unabhängigkeit enorm. Ist diese bei den Android Apps schon geschlossen?

danke für die schnelle warnung, habe da sonst gar nichts von mitbekommen...

[ACHTUNG] Tausende iOS und Android-Apps in Gefahr

Viele App-Entwickler und deren Hersteller, dürften es mit der Sicherheit Ihrer Smartphone-Apps wohl nicht so genau nehmen.

Wie wir schon vor wenigen Tagen berichteten, wurde eine gravierende SSL-Lücke namens "Freak-Attacke" bekannt, die mittlerweile von den Internet-Browser Anbieter geschlossen wurde und alle Browser ein Update erhalten haben!

Anhang 51405
Bild-Quelle: yokoco.com

Aber wie sieht es bei den mobilen Apps für das Smartphone aus? Dort wird ebenso die wichtige SSL-Verschlüsselung benutzt um die Übertragung von privaten Daten zu schützen.

Derzeit wart der Dienstleister für Sicherheit "FireEye" vor Angriffen gegen Android- und iOS-Apps. Das Unternehmen hat die TOP-Apps geprüft und dabei unerfreuliches entdeckt.
Im Google PlayStore finden sich bei den mobilen Applikationen, die mehr als eine Million Downloads haben, 1.228 Apps die für die "Freak-Attacke" gefährdet sind. Bei iOS sind es unter den 14.079 Top-Apps immerhin 771.

Anhang 51406
iOS Apps - Freak-Attack

Anhang 51407
Android OS Apps - Freak-Attack

Wie funktionert der SSL-Angriff mittels Freak-Attack auf Smartphone-Apps?

Über einen gezielten Angriff von Dritt-Personen können sensible Daten mitgelesen werden. Möglich wird dieser, weil die Apps eine verwundbare Crypto-Bibliothek verwenden, und die Anbieter / Entwickler Ihre Server nicht ausreichend abgesichert haben. Besorgt dürften nun auch alle Benutzer sein die Netbanking-, Finanz-Apps usw. benutzen, da diese neben Passwörtern, auch Bankdaten gefährden.

Wie kann ich diesen Angriff verhindern / eingrenzen?

--> Durch ein aktuelles Firmware-Update des Smartphone Betriebssystemes!! <--

Bei einem Update von iOS auf die aktuellste Version iOS 8.2, wird die Sicherheitslücke weitgehend entfernt. Nach Update auf iOS 8.2 sollen von den 771 Apps nur noch 7 Apps verwundbar sein. Unter Android jedoch, ist das statische Einbinden von Bibliotheken deutlich mehr verbreitet. Fast die Hälfte (554) der entdeckten Apps nutzen eine eigene OpenSSL-Version.

ABER...

Die Freak-Attacke eignet sich keinesfalls für Massenangriffe. Denn die Entschlüsselung eines Schlüssels benötigt mehrere Stunden. Daher resultierend, sind bis dato auch keine größeren Attacken bekannt geworden!

LG anonymus

Quelle: FireEye Blog