Abo
  • Services:
Anzeige
Viele Entwickler sind bei der Programmierung von Android-Apps unvorsichtig.
Viele Entwickler sind bei der Programmierung von Android-Apps unvorsichtig. (Bild: Reuters)

Google Play: Android-Apps geben geheime Schlüssel preis

Tausende Android-Programme betten geheime Zugangsschlüssel direkt in den Quellcode ein. Angreifer können sich so Zugang zu privaten Accounts von App-Nutzern verschaffen.

Anzeige

Tausende Android-Apps betten eigentlich geheime Zugangsschlüssel direkt in ihren Quellcode ein. Mit Hilfe der Schlüssel können Angreifer an private Daten von App-Nutzern kommen oder die Server-Infrastruktur der Entwickler übernehmen. Das fanden Forscher der New Yorker Columbia-Universität heraus.

Die drei Informatiker untersuchten mehr als eine Million Apps aus dem Google Play Store und legten dabei Tausende von geheimen Zugangs-Tokens der App-Entwickler offen, die ihnen Zugang zu privaten Cloud-Konten wie Amazon Web Services (AWS) und dem Autorisierungsprotokoll OAuth verschafft hätten.

Bis zu 95 Prozent der Token auch Monate später noch gültig

Für den Test hatten die Forscher ein Tool namens Playdrone entwickelt, das auf mehreren Open-Source-Projekten wie Ruby, Git oder Elastic basiert und bestehende Sicherheitsschranken von Google Play umgehen kann. Mit dem Tool luden die Forscher mehr als 1,1 Millionen Apps herunter und durchsuchten den Quellcode nach Merkmalen von eigentlich geheimen Zugangs-Token wie bestimmten Buchstabenfolgen.

Innerhalb eines Tages hatten sie 308 gültige AWS-Zugangsdaten sowie 6228 OAuth-Token für Twitter und 460 für Facebook gefunden. Auch fünf Monate später seien noch immer zwischen 71 und 95 Prozent der Daten gültig gewesen. Im Fall der Couchsurfing-App Airbnb sei das OAuth-Token so schlecht konfiguriert gewesen, dass Angreifer damit unter anderem auf die Accounts von Millionen von Facebook-, Google- und Linkedin-Nutzern hätten zugreifen können, schrieben die Forscher.

Angreifer könnten mit den Accounts ein Botnetz erstellen

Schlimmer noch: Bei vielen AWS-Zugangsdaten handelte es sich nach Angaben der drei Forscher um Root-Level-Credentials, mit denen die fast uneingeschränkte Kontrolle über die virtuellen Maschinen der App-Entwickler in der Amazon Elastic Compute Cloud (EC2) übernommen werden kann. 288 der AWS-Token waren fünf Monate später noch gültig und hätten Angreifern die Möglichkeit gegeben, mit den virtuellen Maschinen ein Botnetz zu betreiben.

Die Forscher kritisierten, dass viele Entwickler den empfohlenen Umsetzungen bei der Programmierung der Apps nicht folgten und geheime Schlüssel direkt in den Quellcode einbetteten. Den Developern sei offenbar nicht bewusst, wie einfach Quellcode zurückübersetzt werden könne. Bereits im März hatten Forscher Zehntausende AWS-Zugangsdaten auf Github entdeckt.

Google verspricht Nachbesserung

Amazon empfiehlt für die Programmierung den Einsatz temporärer Zugangsdaten, Google setzt auf die Verwendung von OAuth 2.0 mit Token, die jeweils dynamisch generiert werden. Facebook empfiehlt Entwicklern, den geheimen Schlüssel auf einem Server zu lagern und Anfragen der App an Facebook durch diesen Server zu leiten.

Facebook, Twitter und Amazon haben inzwischen auf den Bericht reagiert. Die betroffenen Zugangsdaten wurden gesperrt und die Entwickler kontaktiert. Google versprach, an den Schutzfunktionen von Google Play zu arbeiten und Entwickler künftig automatisch zu warnen, wenn entsprechende Schlüssel in den Codes erkannt würden.


eye home zur Startseite
rommudoh 20. Jun 2014

Nein, die App muss sich erst einen Access-Token holen. Dazu musst du dich bei Facebook...

Feuerbach 20. Jun 2014

Jo, das ist echt schon wichtig. Vor allem in diesem Zusammenhang.

test1111 20. Jun 2014

Aus eigener Erfahrung. Es wird gemacht. Bei jedem update und beim ersten einstellen.



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Bonn
  2. FERCHAU Engineering GmbH, Region Zwickau und Chemnitz
  3. FRITZ & MACZIOL group, deutschlandweit
  4. ITC-Engineering GmbH & Co. KG, Stuttgart


Anzeige
Hardware-Angebote
  1. (u. a. Asus GTX 1070 Strix, MSI GTX 1070 Gaming X 8G, Inno3D GTX 1070 iChill)
  2. ab 219,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  2. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  3. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  4. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  5. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  6. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"

  7. Pegasus

    Ausgeklügelte Spyware attackiert gezielt iPhones

  8. Fenix Chronos

    Garmins neue Sport-Smartwatch kostet ab 1.000 Euro

  9. C-94

    Cratoni baut vernetzten Fahrradhelm mit Crash-Sensor

  10. Hybridluftschiff

    Airlander 10 streifte Überlandleitung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: IMHO: FTTH ist auch ziemlicher overkill

    Katsuragi | 11:31

  2. Die Uhr meines Urgroßvaters hat sündhaft viele...

    lear | 11:25

  3. Re: Nur um das nochmal klar zu stellen

    pythoneer | 11:19

  4. Re: Jetzt ist sie raus. Ich habe mehr erwartet.

    t3st3rst3st | 11:14

  5. Re: Wird Zeit zu wechseln

    Private Paula | 11:14


  1. 15:33

  2. 15:17

  3. 14:29

  4. 12:57

  5. 12:30

  6. 12:01

  7. 11:57

  8. 10:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel