Falsche SSL-Zertifikate stellen ein erhebliches Risiko für Leute dar, die z.B. Online-Banking mit ihrem Smartphone durchführen. Analysten von Netcraft haben mehrere Dutzend falscher Zertifikate gefunden. Dies betrifft Online-Händler, Banken, aber auch soziale Netzwerke. Für Hacker ist dies ideal, können sie so doch einfach Man-in-the-Middle-Angriffe durchführen.

„Bei erfolgreichen Attacken entschlüsseln die Kriminellen zunächst den Verkehr und verschlüsseln ihn dann vor dem Weiterleiten“,

so Paul Muttin von Netcraft. So stehlen sie Daten von Nutzern, die glauben, gesicherte Verbindungen zu nutzen. Auch der Empfänger, wie zum Beispiel die Bank, würde so den Angriff nicht bemerken.

Die Zertifikate sind nicht durch offizielle Behörden unterzeichnet, was von Standardbrowsern ohne Probleme erkannt wird. Allerdings werden inzwischen mehr und mehr spezifische Apps für Online-Banking etc. genutzt. Und diese Anwendungen überprüfen die SSL-Zertifikate oft nicht ausreichend.

Dabei fanden Forscher der Stanford University und der University of Texas solche Lücken unter anderem bei Amazon, PayPal und mehreren Shopping-Apps. Auch die Anwendungen einiger Banken waren nicht allzu sicher. 40% der Banking-Apps auf iOS-Basis wiesen Sicherheitslücken auf, so IOActive. Die Universitäten in Hannover und Marburg stellten Gleiches für Android fest, hier waren 41% der geprüften Apps unsicher.

Falsche Zertifikate wurden unter anderem für Facebook, eine große russische Bank, den iTunes-Store sowie GoDaddy entdeckt. Doch selbst wenn ein Hacker mit falschen Zertifikaten ausgerüstet ist, muss er noch den Traffic zwischen dem Mobilgerät und den jeweiligen Servern belauschen.

Artikel von theregister.co.uk, 14.02.2014: Thought mobe banking apps were safe from nasties? THINK AGAIN
Artikel von arstechnica.com, 12.02.2014: In the wild: Phony SSL certificates impersonating Google, Facebook, and iTunes