Kontakt aufnehmen

TU Darmstadt und Fraunhofer SIT: Datenleck in Apps bedroht Millionen von Nutzern

Viele Smartphone-Apps speichern Nutzerinformationen in Cloud-Datenbanken, um zum Beispiel die Synchronisation zwischen Android- und iOS-Apps zu vereinfachen. Cloud-Betreiber bieten – je nach Sensibilität der Daten – verschiedene Authentifizierungsmethoden hierfür an. Die schwächste Form der Authentifizierung, eher dazu gedacht, Daten zu identifizieren als zu schützen, verwendet ein einfaches API-Token, eine in den App-Code eingebettete Nummer. Mit aktuellen Werkzeugen können Angreifer diese Token jedoch einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren. Angreifer können so zum Beispiel E-Mail-Adressen auf dem Schwarzmarkt verkaufen, Nutzer erpressen, Webseiten verändern oder Schadcode einschleusen, um Malware zu verbreiten oder Botnetze aufzubauen.

Um private Daten richtig zu schützen, müssen Apps ein Zugangskontrollschema implementieren. Die Tests zeigten allerdings, dass die große Mehrheit der Apps keine solche Zugangskontrolle verwendet. Die Wissenschaftler untersuchten 750.000 Apps aus dem Google Play Store und dem Apple App Store. Dazu verwendeten sie intern entwickelte Analyse-Frameworks wie etwa den Fraunhofer Appicaptor. Mithilfe dieser Expertenwerkzeuge konnten die Forscher Apps identifizieren, die eine schwache Authentifizierung nutzen und führten eine Tiefenanalyse ausgewählter Apps durch. Während dieser Untersuchungen stellte sich heraus, dass viele Datenfelder private Informationen wie verifizierte E-Mail-Adressen, komplette Benutzernamen oder gar Informationen zu psychischen Krankheiten enthielten.

„Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen“, erklärt Prof. Eric Bodden. „Allerdings zeigen unsere Forschungsergebnisse und die Problematik an sich, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist.“ Als die Wissenschaftler das Problem entdeckten, informierten sie umgehend die Cloud-Anbieter sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). „Mit der Hilfe von Amazon und Facebook informierten wir ebenfalls die Entwickler der betroffenen Apps, denn sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen.“, sagt Bodden.

Weitere Informationen zur Schwachstelle finden Sie im Internet unter www.sit.fraunhofer.de/appdatathreat

Neueste Artikel

Mikrobielle Cyborgs: Bakterien als Stromlieferanten

Noch bestehen elektronische Geräte aus unbelebten Materialien. Eines Tages könnten jedoch „mikrobielle Cyborgs“ in Brennstoffzellen, Biosensoren oder Bioreaktoren nützlich sein. Wissenschaftlerinnen und Wissenschaftler des Karlsruher Instituts für Technologe (KIT)…

Vorstandsvorsitzender der TÜV NORD AG übernimmt den Vorsitz des VdTÜV-Präsidiums

Dr. Dirk Stenkamp (57) ist neuer Vorsitzender des Präsidiums des TÜV-Verbands (VdTÜV). Die Mitgliederversammlung wählte den Vorstandsvorsitzenden der TÜV NORD AG heute einstimmig an die Spitze des Verbands. Stenkamp…

achelos ist neues CAR-2-CAR-Mitglied

Die achelos GmbH ist assoziiertes Mitglied des CAR-2-CAR-Communication-Konsortiums, eines Zusammenschlusses führender europäischer und internationaler Fahrzeughersteller, Automobilzulieferer, Entwicklungsfirmen und Forschungseinrichtungen. Das Konsortium arbeitet gemeinsam an innovativen Mobilitätsprojekten und strebt durch…

The World of Smart ID Solutions

Copyright © 2012-2024 inTIME berlin