[ACHTUNG] Tausende iOS und Android-Apps in Gefahr
Viele App-Entwickler und deren Hersteller, dürften es mit der Sicherheit Ihrer Smartphone-Apps wohl nicht so genau nehmen.
Wie wir schon vor wenigen Tagen berichteten, wurde eine gravierende SSL-Lücke namens "Freak-Attacke" bekannt, die mittlerweile von den Internet-Browser Anbieter geschlossen wurde und alle Browser ein Update erhalten haben!
Aber wie sieht es bei den mobilen Apps für das Smartphone aus? Dort wird ebenso die wichtige SSL-Verschlüsselung benutzt um die Übertragung von privaten Daten zu schützen.
Derzeit wart der Dienstleister für Sicherheit "FireEye" vor Angriffen gegen Android- und iOS-Apps. Das Unternehmen hat die TOP-Apps geprüft und dabei unerfreuliches entdeckt.
Im Google PlayStore finden sich bei den mobilen Applikationen, die mehr als eine Million Downloads haben, 1.228 Apps die für die "Freak-Attacke" gefährdet sind. Bei iOS sind es unter den 14.079 Top-Apps immerhin 771.
Wie funktionert der SSL-Angriff mittels Freak-Attack auf Smartphone-Apps?
Über einen gezielten Angriff von Dritt-Personen können sensible Daten mitgelesen werden. Möglich wird dieser, weil die Apps eine verwundbare Crypto-Bibliothek verwenden, und die Anbieter / Entwickler Ihre Server nicht ausreichend abgesichert haben. Besorgt dürften nun auch alle Benutzer sein die Netbanking-, Finanz-Apps usw. benutzen, da diese neben Passwörtern, auch Bankdaten gefährden.
Wie kann ich diesen Angriff verhindern / eingrenzen?
--> Durch ein aktuelles Firmware-Update des Smartphone Betriebssystemes!! <--
Bei einem Update von iOS auf die aktuellste Version iOS 8.2, wird die Sicherheitslücke weitgehend entfernt. Nach Update auf iOS 8.2 sollen von den 771 Apps nur noch 7 Apps verwundbar sein. Unter Android jedoch, ist das statische Einbinden von Bibliotheken deutlich mehr verbreitet. Fast die Hälfte (554) der entdeckten Apps nutzen eine eigene OpenSSL-Version.
ABER...
Die Freak-Attacke eignet sich keinesfalls für Massenangriffe. Denn die Entschlüsselung eines Schlüssels benötigt mehrere Stunden. Daher resultierend, sind bis dato auch keine größeren Attacken bekannt geworden!
LG anonymus
Quelle: FireEye Blog