Es begegnet einem häufig, wenn es darum geht, über das Internet Daten auf sichere Art zu übermitteln: Das SSL Verfahren, auch bekannt als „Secure Sockets Layer“. Man vertraut diesem System, das weltweit eines der bekanntesten für die Verschlüsselung von Websites und Daten ist. Jetzt haben die Universitäten Hannover und Marburg beliebte Android Apps getestet und auf ihre Sicherheit hin überprüft. Insgesamt wurden über 13.000 Apps unter die Lupe genommen und so mancher Android User wird nach diesem Test möglicherweise genauer über die Sicherheit an seinem mobilen Endgerät nachdenken.

Android Apps mit Sicherheitsmängeln

Etwa 8% sind anfällig

Das Ergebnis des SSL-Tests: Über 1.000 Apps, etwa 8% sind nicht resistent gegen so genannte MIT-Attacken. Sie sind potenziell anfällig für „Man in the Middle“ (MITM), so die genaue Bezeichnung.  Damit bezeichnet man einen Angriff, der von einer dritten Person mit Hilfe technischer Hilfsmittel verübt wird. Sie klinkt sich in die Kommunikation zwischen Server und Kunde ein. Der Täter verschafft sich Zugang zu den Daten von Android-Geräten, beispielsweise beim Onlinebanking. Die Vorgehensweise wird durch das Akzeptieren von beliebigen Webserver-Zertifikaten der getesteten Apps erleichtert.

Angriffe auf 100 Apps

Die Tester wählten aus den über 1.000 anfälligen Apps 100 Stück aus, an denen sie selbst MITM-Attacken ausprobierten – und schafften es tatsächlich, Daten abzurufen, zum Beispiel die Zahlenkombinationen von Kreditkarten. Die in die Mangel genommenen Apps waren die beliebtesten und kostenlose Apps aus dem Google Play Store. Solche Apps also, die sich schnell und weit verbreiten – eben weil sie populär sind. Besonders bei solch erfolgreichen Apps sollte man meinen, das in Punkto Sicherheit alles im grünen Bereich ist.

Unzureichende Sicherheitsstandards

Dem Android Konsortium „Open Handset Alliance“, zu dem auch Google gehört, wird sicher nicht gefallen, dass der Kunde bei fast zehn Prozent dieser Apps mit unzureichenden SSL Sicherheitsmechanismen rechnen muss. Im Nachhinein lässt sich aber nicht sagen, um welche Apps es sich handelt. Die Namen wurden in der Studie leider nicht veröffentlicht.