Abo
  • Services:
Anzeige
Unzureichend abgesicherte App-Datenbanken in der Cloud gefährden Millionen Kundendaten.
Unzureichend abgesicherte App-Datenbanken in der Cloud gefährden Millionen Kundendaten. (Bild: Peter Macdiarmid/Getty Images)

Unsichere Apps: Millionen Kundendaten gefährdet

Unzureichend abgesicherte App-Datenbanken in der Cloud gefährden Millionen Kundendaten.
Unzureichend abgesicherte App-Datenbanken in der Cloud gefährden Millionen Kundendaten. (Bild: Peter Macdiarmid/Getty Images)

Noch immer gehen App-Entwickler fahrlässig mit Benutzerdaten um. Eine Studie des Fraunhofer SIT ergab, dass mehrere Millionen Datensätze in der Cloud gefährdet sind - wegen eines zu laxen Umgangs mit der Authentifizierung.

Anzeige

Entwickler legen immer noch bevorzugt geheime Schlüssel und Token für den Zugang zum Cloudspeicher ungeschützt in ihren Apps ab. Mit nur wenig Aufwand lassen sie sich auslesen. Damit könnten sich Kriminelle Zugang zu Datenbanken etwa in den Amazon Web Services (AWS) oder bei Facebook verschaffen. Bis zu 56 Millionen Datensätze seien so gefährdet, schätzt das Fraunhofer Institut für Sicherheit in der Informationstechnik (SIT).

Zusammen mit der Technischen Universität Darmstadt und Experten bei Intel untersuchte das Fraunhofer SIT in einem automatisierten Verfahren etwa zwei Millionen Apps in Googles Play Store und Apples App Store. In vielen sei die einfachste Form der Authentifizierung für den Zugang zu Cloud-Anbietern umgesetzt. Den Entwicklern sei offenbar nicht bewusst, wie unzureichend die von den Apps gesammelten Daten damit geschützt seien.

Uneingeschränkter Zugang zu Kundendaten

Bei ihren Versuchen konnten die Wissenschaftler nicht nur höchst persönliche Daten auslesen, etwa wer mit wem bei Facebook befreundet ist oder gesundheitliche Informationen einiger App-Benutzer. Mit Hilfe der eigentlich geheimen Schlüssel hätten sie komplette Benutzerdatenbanken auslesen oder sogar manipulieren können.

Der Bericht kommt zu dem Schluss, dass Anwender sich kaum aktiv schützen können. Sie sollten daher vorsichtig sein, welcher App sie persönliche Informationen anvertrauen. Entwickler hingegen sollten sich über die Sicherheitsvorkehrungen der Cloud-Anbieter besser informieren und restriktivere Zugangskontrollen in ihren Apps implementieren. Die Forscher haben bereits einige Entwickler über besonders kritische Schwachstellen informiert.

Cloud-Anbieter müssen handeln

Auch mit den Anbietern der Cloud-Dienste stehe das Fraunhofer SIT in Kontakt. Sowohl Amazon als auch Facebooks Parse.com, Google und Apple wurden über den Befund informiert. Den Cloud-Anbietern obliege ebenfalls die Verantwortung, die App-Entwickler dazu zu bringen, nicht nur die schwächsten Authentifizierungen zu nutzen. Außerdem sollten die Cloud-Anbieter nicht bequeme, sondern möglichst sichere Standards zur Pflicht machen.

Das Problem ist nicht neu. Bereits im Juni 2014 machten Forscher an der New Yorker Columbia-Universität eine ähnliche Untersuchung und legten dabei Tausende geheime Zugangs-Token für Amazons Web Services offen. Die Forscher kritisierten damals, dass viele Entwickler den empfohlenen Umsetzungen bei der Programmierung der Apps nicht folgten und geheime Schlüssel direkt in den Quellcode einbetteten. Ihnen sei offenbar nicht bewusst, wie einfach Quellcode zurückübersetzt werden könne. Im März 2014 hatten Forscher Zehntausende AWS-Zugangsdaten auf Github entdeckt.


eye home zur Startseite
FreiGeistler 03. Jun 2015

Zum Glück sind die Zustände hier noch nicht ganz so asiatisch. @azeu Dilbert?

azeu 01. Jun 2015

Der Sinn in Bezug auf Sicherheit erschliesst sich mir hier nicht ganz. Natürlich gibt es...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. über Hays AG, Oberhausen
  3. Robert Bosch Starter Motors Generators GmbH, Schwieberdingen
  4. Vodafone Kabel Deutschland GmbH, Raum Hamburg, Flensburg, Kiel, Lübeck, Rostock (Home-Office)


Anzeige
Top-Angebote
  1. 4,99€
  2. 299,90€ (UVP 649,90€)
  3. und bis zu 40 Euro Sofortrabatt erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Leistungsschutzrecht

    Oettingers bizarre Nachhilfestunde

  2. Dating-Portal

    Ermittlungen gegen Lovoo werden eingestellt

  3. Huawei

    Mobilfunkbetreiber sollen bei GBit nicht die Preise erhöhen

  4. Fuze

    iPhone-Hülle will den Klinkenanschluss zurückbringen

  5. Raspberry Pi

    Bastelrechner bekommt Pixel-Desktop

  6. Rollenspiel

    Koch Media wird Publisher für Kingdom Come Deliverance

  7. Samsung

    Explodierende Waschmaschinen sind ganz normal

  8. USB Audio Device Class 3.0

    USB Audio over USB Type-C ist fertig

  9. HY4

    Das erste Brennstoffzellen-Passagierflugzeug hebt ab

  10. Docsis 3.1

    Erster Betreiber versorgt alle Haushalte im Netz mit GBit/s



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Android 7.0 im Test: Zwei Fenster für mehr Durchblick
Android 7.0 im Test
Zwei Fenster für mehr Durchblick
  1. Android-X86 Desktop-Port von Android 7.0 vorgestellt
  2. Android 7.0 Erste Nougat-Portierung für Nexus 4 verfügbar
  3. Android 7.0 Erste Nougat-Portierungen für Nexus 5 und Nexus 7 verfügbar

Mi Notebook Air im Test: Xiaomis geglückte Notebook-Premiere
Mi Notebook Air im Test
Xiaomis geglückte Notebook-Premiere
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App
  3. Xiaomi Hugo Barra verkündet Premium-Smartphone

DDoS: Das Internet of Things gefährdet das freie Netz
DDoS
Das Internet of Things gefährdet das freie Netz
  1. Hilfe von Google Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar
  2. Picobrew Pico angesehen Ein Bierchen in Ehren ...
  3. Peak Smarte Lampe soll Nutzer zum Erfolg quatschen

  1. Oder...

    Swiftey | 18:46

  2. Wenn Öttingers LSR einmal eingeführt ist wird es...

    DrWatson | 18:44

  3. Re: 2500 Tonnen ist nur das Gewicht der betankten...

    M.P. | 18:41

  4. Re: Keine Angaben zum Upload

    RipClaw | 18:39

  5. Übersetz heisst das: Man hat sich freigekauft.

    ManMashine | 18:37


  1. 18:17

  2. 17:39

  3. 17:27

  4. 17:13

  5. 16:56

  6. 16:41

  7. 15:59

  8. 15:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel