"FREAK"-Lücke: Viele Apps noch immer verwundbar
Während die HTTPS-Sicherheitslücke "FREAK" bei Betriebssystemen für viel Wirbel sorgte und Apple, Google, Microsoft sowie Mozilla zur schnellen Behebung zwang, bleibt das
Sicherheitsproblem bei vielen mobilen Apps bestehen. Zusammengefasst ist es bei einem erfolgreichen "FREAK"-Angriff möglich, einen veralteten Chiffrierschlüssel bei HTTPS-Verbindungen zu erzwingen. Anschließend lässt sich dann mit der heutigen Rechenleistung der Datenverkehr entschlüsseln.
Wie sich nun zeigt, sind in einigen mobilen Apps veraltete Chiffrierschlüssel weiterhin erlaubt, und ermöglichen Angreifern in öffentlich bereitgestellten Netzwerken den Zugriff auf übermittelte Adressen, Bankdaten und Kennwörter. Laut den Sicherheitsforschern sind
im Fall von iOS insgesamt 771 Apps mit mehr als einer Million Downloads verwundbar, weil hier das iOS-Sicherheitsupdate aufgrund der Architektur nicht greift. Um welche Apps es sich handelt, schreiben die Forscher nicht. Es soll sich aber um Apps mit sensiblen Daten handeln. App-Kategorien wie Sport oder Spiele wurden erst gar nicht geprüft.
Immerhin gibt es einen Lichtblick: Seit Bekanntwerden der Sicherheitslücke
nimmt die Anzahl verwundbarer Apps stetig ab. Viele Entwickler haben also durch Updates das Problem bereits behoben oder planen eine baldige Behebung. Bedenklich ist jedoch der relativ geringe Update-Fortschritt in den Kategorien Finanzen und Medizin, da gerade hier meist kritische Daten anzutreffen sind.
Weiterführende Links: