Freak-Lücke steckt laut FireEye noch in über 1200 beliebten Android-Apps

Von 10.985 beliebten Android-Apps, die jeweils über eine Million Mal heruntergeladen wurden, sind laut einer Untersuchung noch 1128 oder 11,2 Prozent für die Freak-Lücke anfällig. Unter iOS 8.1.x oder früher sind es 771 von 14.079 untersuchten Anwendungen.

Eine Reihe an Entwicklern von beliebten Android-Apps haben laut einer Untersuchung des Sicherheitsunternehmens FireEye die als Freak bezeichnete Sicherheitslücke noch nicht geschlossen. Überprüft wurden über 10.000 beliebte Android-Apps aus dem Google-Marktplatz. Rund 11,2 Prozent der Anwendungen waren noch für die Freak-Lücke anfällig. Auch eine Reihe von iOS-Apps weisen noch die Schwachstelle auf. Allerdings wurden für das Apple iPhone und iPad bereits weit mehr Anwendungen gepatcht.

(Screenshot: ZDNet).

Von 10.985 beliebten Android-Apps, die jeweils über eine Million Mal heruntergeladen wurden, sind laut einer Untersuchung noch 1128 oder 11,2 Prozent für die Freak-Lücke anfällig. Unter iOS 8.1.x oder früher sind es 771 von 14.079 untersuchten Anwendungen (Screenshot: ZDNet).

 

Seine Untersuchungen führte FireEye an zwei Tagen, dem 4. und 10. März durch. FireEye hat insgesamt 10.985 Android-Apps unter die Lupe genommen, die jeweils über eine Million Mal heruntergeladen wurden. 1128 Anwendungen waren noch anfällig, da sie “eine anfällige OpenSSL-Library nutzen, um sich mit anfälligen HTTPS-Servern zu verbinden”. Zusammengerechnet entsprechen die 1228 Apps ca. 6,3 Milliarden Downloads. 664 nutzen eine von Android gestellte OpenSSL-Library, 554 eine selbst kompilierte.

Apple hatte in diesem Zeitraum die Freak-Schwachstelle mit iOS 8.2 behoben. Unter iOS waren es laut FireEye 771 von 14.079 untersuchten Apps, die sich mit angreifbaren Diensten in Verbindung setzen und anfällig sind, wenn sie unter einer älteren iOS-Version als 8.2 zum Einsatz kommen. Dennoch sind auch noch wenige iOS-Apps unter der neuesten Betriebssystemversion verwundbar, die sich mit Servern verbinden, die noch die entsprechenden RSA-Keys akzeptieren. Sieben dieser 771 Apple bringen eine eigene Version von OpenSSL mit und sind somit auch unter iOS 8.2 noch anfällig.

(Grafik: FireEye).

Die OpenSSL-Schwachstelle Freak wurde zwischen 5. und 10. März nur bei einem kleineren Anteil verwundbarer Apps gepatcht (Grafik: FireEye).

 

FireEye skizziert in seinem Blogbeitrag auch, wie ein Angriff ablaufen könnte: “Ein Angreifer kann eine Freak-Attacke mit Man-in-the-Middle-Technik starten, um verschlüsselten Traffic zwischen der Mobil-App und dem Backend-Server abzufangen und zu modifizieren. Dazu kann er bekannte Techniken wie ARP-Spoofing und DNS-Hijacking nutzen. Er muss auch nicht unbedingt die Verschlüsselung in Echtzeit knacken, sondern kann verschlüsselten Netzwerktraffic aufzeichnen, später entschlüsseln und auf die enthaltenen privaten Daten zugreifen.”

So wäre es beispielsweise möglich, eine Shopping-App anzugreifen, um an Kreditkartendaten samt PIN zu kommen. Als besonders bedenklich sehen die Forscher auch verwundbare Medizin- und Gesundheits-Apps, Produktivitäts-Apps und Finanz-Apps an.

Freak ist eine mehr als zehn Jahre alte kryptografische Schwachstelle. Entdeckt hat sie ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria. Der Name Freak steht für “Factoring Attack on RSA-Export Keys”. Er bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb.

Die Einschränkungen seien Ende der Neunzigerjahre aufgehoben worden, die schwache Verschlüsselung finde sich aber immer noch in zahlreichen Anwendungen, die zum Teil unbemerkt auch ihren Weg zurück in die USA gefunden hätten, schrieben die Pariser Forscher. Es war ihnen nach eigenen Angaben gelungen, Browser wie Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung zu nutzen. Sie hätten sie anschließend innerhalb weniger Stunden geknackt und seien dann in der Lage gewesen, persönliche Informationen und Passwörter abzufangen.

Das weitaus wichtigste Programm auf jedem System, um sich vor Freak-Angriffen zu schützen, ist natürlich der Browser. Unsere Schwesterseite ZDNet informiert in Form einer regelmäßig aktualisierten Tabelle, welche Mobil- und auch Desktop-Browser noch durch Freak-Attacken verwundbar sind.

[Mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Freak-Lücke steckt laut FireEye noch in über 1200 beliebten Android-Apps

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *