Abo
  • Services:
Anzeige
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch.
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch. (Bild: Screenshot: Golem.de)

Android-Apps: Appbugs warnt vor Apps mit unsicheren Logins

Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch.
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch. (Bild: Screenshot: Golem.de)

Mangelnde Verschlüsselung und gefälschte Zertifikate können dazu führen, dass Zugangsdaten beim Einloggen von Fremden abgegriffen werden können. Eine App will vor anderen, unzureichend abgesicherten Apps in Googles Play Store warnen - eine Aufgabe, die eigentlich Google übernehmen sollte.

Anzeige

Appbugs heißt eine neue App für Googles mobiles Betriebssystem Android. Sie soll vor anderen Apps warnen, die Benutzerdaten unverschlüsselt übertragen oder anfällig sind für gefälschte Zertifikate. Appbugs wirft aber einige Fragen auf: Warum müssen sich externe Entwickler um ein Problem kümmern, das Google und vor allem die Entwickler selbst viel effizienter lösen können? Und: Wie viel Vertrauen kann man einer solchen Anwendung eigentlich schenken?

  • Wir hoffen, dass unser Android-Smartphone tatsächlich frei von Schwachstellen ist, wie von Appbugs vermeldet. (Screenshot: Golem.de)
  • Für die App gibt es ein kostenpflichtiges Upgrade mit etwas erweiterten Funktionen. (Screenshot: Golem.de)
Wir hoffen, dass unser Android-Smartphone tatsächlich frei von Schwachstellen ist, wie von Appbugs vermeldet. (Screenshot: Golem.de)

Nach der Installation von Appbugs auf einem unserer Testgeräte dauerte der Scan nur wenige Sekunden. Keine der von uns installierten Apps sei unsicher, meldete die Software sogleich. Ein Gefühl der Sicherheit kam dabei nicht gerade auf. Und tatsächlich: Appbugs gleicht die Anwendungen nur anhand seiner eigenen Datenbank ab. Das klingt zunächst plausibel, denn eine eingehende Überprüfung würde nicht nur deutlich länger dauern, sondern auch erweiterte Rechte benötigen.

Hauptsächlich US-Apps wurden untersucht

Ein Blick auf die Webseite des Unternehmens und die bei Ars Technica vermeldete Vorstellung von Appbugs offenbart aber noch ein anderes Problem. Die von Appbugs geführte Liste der betroffenen Apps konzentriert sich weitgehend auf den US-Markt. Von der NBA-App Game Time ist die Rede, der man ein gefälschtes Zertifikat unterjubeln kann. Oder der App der US-Supermarktkette Safeway. Immerhin listet Appbugs auf seiner Webseite auch die App des Musikstreamingdienstes Last.fm auf, die wohl auch der eine oder andere Benutzer in Deutschland installiert hat.

Die Software ist kostenlos und bezeichnet sich selbst als Beta. Die Appbugs-Macher pflegen aber ihre Datenbank selbst. Inwiefern sie sämtliche Apps zeitnah überprüfen wollen und vor allem auch solchen von Unternehmen außerhalb der USA eine Priorität einräumen wollen, bleibt abzuwarten. Die Meldung, unser Android-Smartphone sei sicher, ist streng genommen nicht korrekt.

Kostenpflichtiges Upgrade für erweiterte Funktionen

Übrigens bietet Appbug noch die Möglichkeit eines kostenpflichtigen Abonnements. Dann erhält der Nutzer Details zu den Schwachstellen der betroffenen Apps und Hinweise, wie er sich schützen kann. Appbugs sorgt dann auch dafür, dass die fehlerhafte App deinstalliert und erst dann wieder installiert wird, wenn der Hersteller die Fehler repariert hat - und das alles ohne Werbung, die in der kostenfreien Variante angezeigt wird.

Appbugs wurde von Rui Wang und Stan Bounev gegründet, beides ehemalige Microsoft-Mitarbeiter. Wang war dort IT-Sicherheitsforscher, Bounev Produktmanager und unter anderem für die Werbeeinahmen bei Outlook.com zuständig.

Löbliche Lösung für ein grundlegendes Problem

Ihre Software spricht ein grundlegendes Problem bei der Umsetzung der Verschlüsselung in Apps an, das bereits seit längerem bekannt ist und offenbar von App-Entwicklern nur schleppend angegangen wird. Im September 2014 informierten Forscher von der Carnegie Mellon Universität, dass mehr als 23.000 untersuchte Apps gefälschte Zertifikate akzeptieren, sowohl unter Android als auch unter iOS. Eine Nachuntersuchung durch das City College in San Francisco Ende April 2015 ergab, dass sie in vielen populären Anwendungen immer noch enthalten waren. Insofern ist die Arbeit des Appbugs-Teams löblich.

Bleibt die Frage, warum Google oder Apple ihre Richtlinien für Apps, die in ihren offiziellen Stores angeboten werden, nicht hinreichend anpassen, um solche Probleme zu vermeiden. Ein automatisierter Scan vor der Zulassung zum Play Store sollte eigentlich kein Problem sein. Und schließlich sind auch die Entwickler gefragt, die offenbar trotz Warnungen das Problem nicht ernst nehmen.


eye home zur Startseite
Anonymer Nutzer 21. Jun 2015

www.kali.org/kali-linux-dojo-workshop/ www.offensive-security.com/information-security...



Anzeige

Stellenmarkt
  1. CERATIZIT Deutschland GmbH, Empfingen
  2. GERMANIA Fluggesellschaft mbH, Berlin-Tegel
  3. eins energie in sachsen GmbH & Co. KG, Chemnitz
  4. über HRM CONSULTING GmbH, Köln


Anzeige
Spiele-Angebote
  1. (-80%) 5,99€
  2. (-40%) 29,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Apple

    Aktivierungssperre des iPads lässt sich umgehen

  2. Amazon

    Downloader-App aus dem Fire-TV-Store entfernt

  3. Autonomes Fahren

    Apple zeigt Interesse an selbstfahrenden Autos

  4. Sicherheit

    Geheimdienst warnt vor Cyberattacke auf russische Banken

  5. Super Mario Bros. (1985)

    Fahrt ab auf den Bruder!

  6. Canon EOS 5D Mark IV im Test

    Grundsolides Arbeitstier mit einer Portion Extravaganz

  7. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  8. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  9. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  10. Raumfahrt

    Europa bleibt im All



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. Re: Pervers... .

    Tunkali | 12:58

  2. Re: ich dachte immer der versand wird billiger

    triplekiller | 12:56

  3. solange Kodi bleibt, alles gut!! kT

    Kunze | 12:49

  4. Re: ... die Pay-TV-Plattform Freenet TV ...

    Mr Miyagi | 12:48

  5. Re: Transparenz zum Kündigungstermin ist Schwachsinn!

    dl01 | 12:46


  1. 12:54

  2. 11:56

  3. 10:54

  4. 10:07

  5. 08:59

  6. 08:00

  7. 00:03

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel