Abo
  • Services:
Anzeige
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch.
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch. (Bild: Screenshot: Golem.de)

Android-Apps: Appbugs warnt vor Apps mit unsicheren Logins

Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch.
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch. (Bild: Screenshot: Golem.de)

Mangelnde Verschlüsselung und gefälschte Zertifikate können dazu führen, dass Zugangsdaten beim Einloggen von Fremden abgegriffen werden können. Eine App will vor anderen, unzureichend abgesicherten Apps in Googles Play Store warnen - eine Aufgabe, die eigentlich Google übernehmen sollte.

Anzeige

Appbugs heißt eine neue App für Googles mobiles Betriebssystem Android. Sie soll vor anderen Apps warnen, die Benutzerdaten unverschlüsselt übertragen oder anfällig sind für gefälschte Zertifikate. Appbugs wirft aber einige Fragen auf: Warum müssen sich externe Entwickler um ein Problem kümmern, das Google und vor allem die Entwickler selbst viel effizienter lösen können? Und: Wie viel Vertrauen kann man einer solchen Anwendung eigentlich schenken?

  • Wir hoffen, dass unser Android-Smartphone tatsächlich frei von Schwachstellen ist, wie von Appbugs vermeldet. (Screenshot: Golem.de)
  • Für die App gibt es ein kostenpflichtiges Upgrade mit etwas erweiterten Funktionen. (Screenshot: Golem.de)
Wir hoffen, dass unser Android-Smartphone tatsächlich frei von Schwachstellen ist, wie von Appbugs vermeldet. (Screenshot: Golem.de)

Nach der Installation von Appbugs auf einem unserer Testgeräte dauerte der Scan nur wenige Sekunden. Keine der von uns installierten Apps sei unsicher, meldete die Software sogleich. Ein Gefühl der Sicherheit kam dabei nicht gerade auf. Und tatsächlich: Appbugs gleicht die Anwendungen nur anhand seiner eigenen Datenbank ab. Das klingt zunächst plausibel, denn eine eingehende Überprüfung würde nicht nur deutlich länger dauern, sondern auch erweiterte Rechte benötigen.

Hauptsächlich US-Apps wurden untersucht

Ein Blick auf die Webseite des Unternehmens und die bei Ars Technica vermeldete Vorstellung von Appbugs offenbart aber noch ein anderes Problem. Die von Appbugs geführte Liste der betroffenen Apps konzentriert sich weitgehend auf den US-Markt. Von der NBA-App Game Time ist die Rede, der man ein gefälschtes Zertifikat unterjubeln kann. Oder der App der US-Supermarktkette Safeway. Immerhin listet Appbugs auf seiner Webseite auch die App des Musikstreamingdienstes Last.fm auf, die wohl auch der eine oder andere Benutzer in Deutschland installiert hat.

Die Software ist kostenlos und bezeichnet sich selbst als Beta. Die Appbugs-Macher pflegen aber ihre Datenbank selbst. Inwiefern sie sämtliche Apps zeitnah überprüfen wollen und vor allem auch solchen von Unternehmen außerhalb der USA eine Priorität einräumen wollen, bleibt abzuwarten. Die Meldung, unser Android-Smartphone sei sicher, ist streng genommen nicht korrekt.

Kostenpflichtiges Upgrade für erweiterte Funktionen

Übrigens bietet Appbug noch die Möglichkeit eines kostenpflichtigen Abonnements. Dann erhält der Nutzer Details zu den Schwachstellen der betroffenen Apps und Hinweise, wie er sich schützen kann. Appbugs sorgt dann auch dafür, dass die fehlerhafte App deinstalliert und erst dann wieder installiert wird, wenn der Hersteller die Fehler repariert hat - und das alles ohne Werbung, die in der kostenfreien Variante angezeigt wird.

Appbugs wurde von Rui Wang und Stan Bounev gegründet, beides ehemalige Microsoft-Mitarbeiter. Wang war dort IT-Sicherheitsforscher, Bounev Produktmanager und unter anderem für die Werbeeinahmen bei Outlook.com zuständig.

Löbliche Lösung für ein grundlegendes Problem

Ihre Software spricht ein grundlegendes Problem bei der Umsetzung der Verschlüsselung in Apps an, das bereits seit längerem bekannt ist und offenbar von App-Entwicklern nur schleppend angegangen wird. Im September 2014 informierten Forscher von der Carnegie Mellon Universität, dass mehr als 23.000 untersuchte Apps gefälschte Zertifikate akzeptieren, sowohl unter Android als auch unter iOS. Eine Nachuntersuchung durch das City College in San Francisco Ende April 2015 ergab, dass sie in vielen populären Anwendungen immer noch enthalten waren. Insofern ist die Arbeit des Appbugs-Teams löblich.

Bleibt die Frage, warum Google oder Apple ihre Richtlinien für Apps, die in ihren offiziellen Stores angeboten werden, nicht hinreichend anpassen, um solche Probleme zu vermeiden. Ein automatisierter Scan vor der Zulassung zum Play Store sollte eigentlich kein Problem sein. Und schließlich sind auch die Entwickler gefragt, die offenbar trotz Warnungen das Problem nicht ernst nehmen.


eye home zur Startseite
Anonymer Nutzer 21. Jun 2015

www.kali.org/kali-linux-dojo-workshop/ www.offensive-security.com/information-security...



Anzeige

Stellenmarkt
  1. MBtech Group GmbH & Co. KGaA, Stuttgart
  2. BENTELER-Group, Düsseldorf
  3. Basler AG, Ahrensburg
  4. Radeberger Gruppe KG, Frankfurt am Main


Anzeige
Top-Angebote
  1. (u. a. Far Cry Primal Digital Apex Edition 22,99€ und Watch_Dogs 2 Deluxe Edition 29,99€)
  2. (heute u. a. mit Sony TVs, Radios und Lautsprechern, 4K-Blu-rays und Sennheiser Kopfhörern)
  3. 499,99€ - Aktuell nicht bestellbar. Gelegentlich bezüglich Verfügbarkeit auf der Bestellseite...

Folgen Sie uns
       


  1. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  2. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  3. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  4. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  5. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  6. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  7. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  8. Oracle

    Java SE 9 und Java EE 8 gehen live

  9. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  10. Streaming

    Update für Fire TV bringt Lupenfunktion



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

  1. Re: 1. Eindruck: Vergleich HEVC/AV1

    NaruHina | 07:41

  2. Re: was kostet das? und warum rechnet sich das?

    Bendix | 07:32

  3. Re: Geringwertiger Gütertransport

    Kakiss | 07:21

  4. Re: AI gibt es nicht.

    wlorenz65 | 05:10

  5. Re: K(n)ackpunkt Tastaturlayout

    zilti | 04:10


  1. 17:43

  2. 17:25

  3. 16:55

  4. 16:39

  5. 16:12

  6. 15:30

  7. 15:06

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel