[ACHTUNG] Tausende iOS und Android-Apps in Gefahr


  1. #1
    anonymus
    Viele App-Entwickler und deren Hersteller, dürften es mit der Sicherheit Ihrer Smartphone-Apps wohl nicht so genau nehmen.

    Wie wir schon vor wenigen Tagen berichteten, wurde eine gravierende SSL-Lücke namens "Freak-Attacke" bekannt, die mittlerweile von den Internet-Browser Anbieter geschlossen wurde und alle Browser ein Update erhalten haben!

    Klicken Sie auf die Grafik für eine größere Ansicht 

Name:	freak.jpg 
Hits:	183 
Größe:	59,3 KB 
ID:	51405
    Bild-Quelle: yokoco.com

    Aber wie sieht es bei den mobilen Apps für das Smartphone aus? Dort wird ebenso die wichtige SSL-Verschlüsselung benutzt um die Übertragung von privaten Daten zu schützen.

    Derzeit wart der Dienstleister für Sicherheit "FireEye" vor Angriffen gegen Android- und iOS-Apps. Das Unternehmen hat die TOP-Apps geprüft und dabei unerfreuliches entdeckt.
    Im Google PlayStore finden sich bei den mobilen Applikationen, die mehr als eine Million Downloads haben, 1.228 Apps die für die "Freak-Attacke" gefährdet sind. Bei iOS sind es unter den 14.079 Top-Apps immerhin 771.

    Klicken Sie auf die Grafik für eine größere Ansicht 

Name:	apple-iphone-ios-freak-attack-risk.jpg 
Hits:	165 
Größe:	97,0 KB 
ID:	51406
    iOS Apps - Freak-Attack

    Klicken Sie auf die Grafik für eine größere Ansicht 

Name:	Android-smartphone-freak-attack-risk.jpg 
Hits:	182 
Größe:	98,1 KB 
ID:	51407
    Android OS Apps - Freak-Attack

    Wie funktionert der SSL-Angriff mittels Freak-Attack auf Smartphone-Apps?

    Über einen gezielten Angriff von Dritt-Personen können sensible Daten mitgelesen werden. Möglich wird dieser, weil die Apps eine verwundbare Crypto-Bibliothek verwenden, und die Anbieter / Entwickler Ihre Server nicht ausreichend abgesichert haben. Besorgt dürften nun auch alle Benutzer sein die Netbanking-, Finanz-Apps usw. benutzen, da diese neben Passwörtern, auch Bankdaten gefährden.

    Wie kann ich diesen Angriff verhindern / eingrenzen?

    --> Durch ein aktuelles Firmware-Update des Smartphone Betriebssystemes!! <--

    Bei einem Update von iOS auf die aktuellste Version iOS 8.2, wird die Sicherheitslücke weitgehend entfernt. Nach Update auf iOS 8.2 sollen von den 771 Apps nur noch 7 Apps verwundbar sein. Unter Android jedoch, ist das statische Einbinden von Bibliotheken deutlich mehr verbreitet. Fast die Hälfte (554) der entdeckten Apps nutzen eine eigene OpenSSL-Version.

    ABER...

    Die Freak-Attacke eignet sich keinesfalls für Massenangriffe. Denn die Entschlüsselung eines Schlüssels benötigt mehrere Stunden. Daher resultierend, sind bis dato auch keine größeren Attacken bekannt geworden!

    LG anonymus

    Quelle:
    FireEye Blog

  2. #2
    Harsecy
    danke für die schnelle warnung, habe da sonst gar nichts von mitbekommen...

  3. #3
    AppSecurity

    Krass!!!

    Ich hoffe das derartige Sicherheitslücken auch in Zukunft sehr rasch geschlossen werden. Solche Lücken verringern die mobile Unabhängigkeit enorm. Ist diese bei den Android Apps schon geschlossen?

  4. #4
    anonymus
    Letztes Monat führte FireEye eine erneute Sicherheits-Prüfung der Google PlayStore Apps durch.

    Aus dieser Überprüfung ergibt sich, dass "noch" immer ~11,2% der Apps, die über 1 Million Downloads haben, von der "Freak-Sicherheitslücke" betroffen sind.

    Klicken Sie auf die Grafik für eine größere Ansicht 

Name:	freakattack.jpg 
Hits:	196 
Größe:	61,8 KB 
ID:	51505

    Eigentlich wäre die Behebung der Sicherheitslücke sehr schnell und unkompliziert durchführbar laut FireEye.
    Denn die Apps verbinden sich meist nur mit einem oder zwei Server.
    Es würde daher ausreichen wenn jeder Entwickler die Sicherheitslücken auf den Servern schließen würden.

    Wir sind gespannt, wann Google oder aber auch die Entwickler die "OpenSSL-Sicherheitslücke" schließen / unterbinden werden. WIR halten EUCH auf den laufenden....

    WEITERES:
    FireEye presentation [pdf] at RSA

    LG anonymus

Ähnliche Handy Themen zu [ACHTUNG] Tausende iOS und Android-Apps in Gefahr


  1. Achtung Wasserdampf: Wer hat sich nicht schon mal beim Abgießen von heißem Kochwasser die Hände verbrüht. Wasserdampf ist gefährlich und kann im Haushalt schnell zu...



  2. WhatsApp Sniffer - Download Seite als Gefahr für Privatsphäre?: Ich nutze u.a. auch ein Android-Smartphone und habe dort auch WhatsApp installiert. Jetzt habe ich von jemanden mitbekommen, dass es einen WhatsApp...



  3. Android APPs aus Meine Bibliothek löschen im Android Market: Hey, ;) ich habe ein Problem mit meinen Apps, die auf meinem Android Market Konto unter https://market.android.com/?hl=de alle gespeichert sind in...



  4. Android Apps vs. iPhone Apps: Hello! Mein iPhone 3G gibt schön langsam den Geist auf und ich bin am überlegen ob ich mir ein Samsung Handy zulege. Da ich am iPhone sehr viele Apps...



  5. Android Market - Apps lassen sich nicht installieren/ Download von Apps bricht ab: Hallo zusammen, ab und an kommt es bei vereinzelten Nutzern eines Android Handys vor, das sich Apps aus dem Android Market nicht...


Stichworte