Facebook schließt SSL-Lücke in Android-App

Facebook hat eine Lücke in seiner Android App geschlossen, bei der die Anwendung trotz aktiviertem HTTPS Bilder unverschlüsselt versendete.

Facebook war die Lücke seit Februar bekannt gewesen. Der Sicherheitsforscher Mohamed Ramadan informierte  am 22. Februar über die Schwachstelle und schrieb darüber in seinem Blog. Er erhielt seinerzeit 2000 Dollar Belohnung von Facebook.

Fehler in der Verschlüsselung mit einer SSL-Implementierung sind bei Android Apps häufug anzutreffen. Forscher der Leibniz Universität Hannover und der Philipps-Universität Marburg hatten 2012 bei einer Untersuchung von 13.000 Android-Anwendungen mehr als 1000 fehlerhafte Apps gefunden (PDF).

Ähnliche Beiträge