Benutzerdaten gefährdet

Apps nutzen anfällige Cloud-Datenbanken

| Redakteur: Stephan Augsten

Mit dem Analyse-Tool Appicaptor haben TU Darmstadt und Fraunhofer SIT diverse Apps mit unsicheren Cloud-Datenbanken identifiziert.
Mit dem Analyse-Tool Appicaptor haben TU Darmstadt und Fraunhofer SIT diverse Apps mit unsicheren Cloud-Datenbanken identifiziert. (Bild: Fraunhofer SIT)

In Cloud-Datenbanken wie Facebook Parse oder Amazon AWS liegen Abermillionen ungeschützte Datensätze. Offenbar ignorieren App-Entwickler die Datenschutz-Empfehlungen der Cloud-Anbieter. Dies haben die Technische Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) herausgefunden.

In Zusammenarbeit haben TU Darmstadt und Fraunhofer SIT verschiedene Cloud-Datenbanken wie Facebook Parse und Amazons AWS untersucht. App-Entwickler verwenden diese Datenbanken, um Nutzerdaten zu speichern, ignorieren dabei aber scheinbar die Sicherheitsempfehlungen der Cloud-Anbieter.

Das Ergebnis: Viele Nutzerkonten sind durch Identitätsdiebstahl und andere Internetverbrechen bedroht. Die Forscher sind nach eigenen Angaben auf rund 56 Millionen ungeschützte Datensätze gestoßen. Sie fanden E-Mail-Adressen, Passwörter, Gesundheitsdaten und andere sensible Informationen von App-Benutzern.

Viele Smartphone-Apps speichern entsprechende Nutzerinformationen in der Cloud, um zum Beispiel die Synchronisation zwischen Android- und iOS-Apps zu vereinfachen. Je nach Sensibilität der Daten können die App-Entwickler verschiedene Authentifizierungsmethoden nutzen.

Die schwächste Form der Authentifizierung, eher dazu gedacht, Daten zu identifizieren als zu schützen, verwendet ein einfaches API-Token, eine in den App-Code eingebettete Nummer. Mit aktuellen Werkzeugen können Angreifer diese Token jedoch einfach extrahieren, warnen TU Darmstadt und Fraunhofer SIT. Angreifer könnten die gespeicherten Daten anschließend nicht nur lesen, sondern oft sogar manipulieren.

Analyse-Tools helfen bei Auswertung

Um private Daten richtig zu schützen, müssen Apps ein Zugangskontrollschema implementieren. Die Tests zeigten allerdings, dass die große Mehrheit der Apps keine solche Zugangskontrolle verwendet. Die Wissenschaftler untersuchten 750.000 Apps aus dem Google Play Store und dem Apple App Store. Dazu verwendeten sie intern entwickelte Analyse-Frameworks wie etwa den Fraunhofer Appicaptor.

Mithilfe dieser Expertenwerkzeuge konnten die Forscher Apps identifizieren, die eine schwache Authentifizierung nutzen und führten eine Tiefenanalyse ausgewählter Apps durch. Während dieser Untersuchungen stellte sich heraus, dass viele Datenfelder private Informationen wie verifizierte E-Mailadressen, komplette Benutzernamen oder gar Informationen zu psychischen Krankheiten enthielten.

Prof. Eric Bodden, der Leiter des Forscherteams, weist eindringlich darauf hin, dass sich mobile Anwender gut überlegen sollten, welche Daten sie mit Apps verwalten. Man habe bereits Amazon und Facebook kontaktiert, um die Entwickler der betroffenen Apps über die Missstände zu informieren: „Sie sind diejenigen, die aktiv werden müssen.“ Weitere Informationen zur App-Daten-Schwachstelle finden Interessierte beim Fraunhofer SIT.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43419861 / Mobile Security)