Abo
  • Services:
Anzeige
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch.
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch. (Bild: Screenshot: Golem.de)

Android-Apps: Appbugs warnt vor Apps mit unsicheren Logins

Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch.
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch. (Bild: Screenshot: Golem.de)

Mangelnde Verschlüsselung und gefälschte Zertifikate können dazu führen, dass Zugangsdaten beim Einloggen von Fremden abgegriffen werden können. Eine App will vor anderen, unzureichend abgesicherten Apps in Googles Play Store warnen - eine Aufgabe, die eigentlich Google übernehmen sollte.

Anzeige

Appbugs heißt eine neue App für Googles mobiles Betriebssystem Android. Sie soll vor anderen Apps warnen, die Benutzerdaten unverschlüsselt übertragen oder anfällig sind für gefälschte Zertifikate. Appbugs wirft aber einige Fragen auf: Warum müssen sich externe Entwickler um ein Problem kümmern, das Google und vor allem die Entwickler selbst viel effizienter lösen können? Und: Wie viel Vertrauen kann man einer solchen Anwendung eigentlich schenken?

  • Wir hoffen, dass unser Android-Smartphone tatsächlich frei von Schwachstellen ist, wie von Appbugs vermeldet. (Screenshot: Golem.de)
  • Für die App gibt es ein kostenpflichtiges Upgrade mit etwas erweiterten Funktionen. (Screenshot: Golem.de)
Wir hoffen, dass unser Android-Smartphone tatsächlich frei von Schwachstellen ist, wie von Appbugs vermeldet. (Screenshot: Golem.de)

Nach der Installation von Appbugs auf einem unserer Testgeräte dauerte der Scan nur wenige Sekunden. Keine der von uns installierten Apps sei unsicher, meldete die Software sogleich. Ein Gefühl der Sicherheit kam dabei nicht gerade auf. Und tatsächlich: Appbugs gleicht die Anwendungen nur anhand seiner eigenen Datenbank ab. Das klingt zunächst plausibel, denn eine eingehende Überprüfung würde nicht nur deutlich länger dauern, sondern auch erweiterte Rechte benötigen.

Hauptsächlich US-Apps wurden untersucht

Ein Blick auf die Webseite des Unternehmens und die bei Ars Technica vermeldete Vorstellung von Appbugs offenbart aber noch ein anderes Problem. Die von Appbugs geführte Liste der betroffenen Apps konzentriert sich weitgehend auf den US-Markt. Von der NBA-App Game Time ist die Rede, der man ein gefälschtes Zertifikat unterjubeln kann. Oder der App der US-Supermarktkette Safeway. Immerhin listet Appbugs auf seiner Webseite auch die App des Musikstreamingdienstes Last.fm auf, die wohl auch der eine oder andere Benutzer in Deutschland installiert hat.

Die Software ist kostenlos und bezeichnet sich selbst als Beta. Die Appbugs-Macher pflegen aber ihre Datenbank selbst. Inwiefern sie sämtliche Apps zeitnah überprüfen wollen und vor allem auch solchen von Unternehmen außerhalb der USA eine Priorität einräumen wollen, bleibt abzuwarten. Die Meldung, unser Android-Smartphone sei sicher, ist streng genommen nicht korrekt.

Kostenpflichtiges Upgrade für erweiterte Funktionen

Übrigens bietet Appbug noch die Möglichkeit eines kostenpflichtigen Abonnements. Dann erhält der Nutzer Details zu den Schwachstellen der betroffenen Apps und Hinweise, wie er sich schützen kann. Appbugs sorgt dann auch dafür, dass die fehlerhafte App deinstalliert und erst dann wieder installiert wird, wenn der Hersteller die Fehler repariert hat - und das alles ohne Werbung, die in der kostenfreien Variante angezeigt wird.

Appbugs wurde von Rui Wang und Stan Bounev gegründet, beides ehemalige Microsoft-Mitarbeiter. Wang war dort IT-Sicherheitsforscher, Bounev Produktmanager und unter anderem für die Werbeeinahmen bei Outlook.com zuständig.

Löbliche Lösung für ein grundlegendes Problem

Ihre Software spricht ein grundlegendes Problem bei der Umsetzung der Verschlüsselung in Apps an, das bereits seit längerem bekannt ist und offenbar von App-Entwicklern nur schleppend angegangen wird. Im September 2014 informierten Forscher von der Carnegie Mellon Universität, dass mehr als 23.000 untersuchte Apps gefälschte Zertifikate akzeptieren, sowohl unter Android als auch unter iOS. Eine Nachuntersuchung durch das City College in San Francisco Ende April 2015 ergab, dass sie in vielen populären Anwendungen immer noch enthalten waren. Insofern ist die Arbeit des Appbugs-Teams löblich.

Bleibt die Frage, warum Google oder Apple ihre Richtlinien für Apps, die in ihren offiziellen Stores angeboten werden, nicht hinreichend anpassen, um solche Probleme zu vermeiden. Ein automatisierter Scan vor der Zulassung zum Play Store sollte eigentlich kein Problem sein. Und schließlich sind auch die Entwickler gefragt, die offenbar trotz Warnungen das Problem nicht ernst nehmen.


eye home zur Startseite
Anonymer Nutzer 21. Jun 2015

www.kali.org/kali-linux-dojo-workshop/ www.offensive-security.com/information-security...



Anzeige

Stellenmarkt
  1. ENERTRAG Aktiengesellschaft, Dauerthal, Berlin, Edemissen
  2. Computacenter AG & Co. oHG, verschiedene Standorte
  3. Computacenter AG & Co. oHG, Berlin, Frankfurt, Ratingen, Stuttgart, München
  4. LogControl GmbH, Pforzheim


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. DXRacer OH/RE9/NW für 199,90€ statt 226€ im Preisvergleich)

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

  1. Re: Wie soll das bei der Einreise funktionieren?

    gnolem | 19:34

  2. Re: Unity ist auch eine vergleichsweise gute Engine

    Trockenobst | 19:33

  3. Re: Wer ahnt hier Zusammenhänge????

    lucky_luke81 | 19:32

  4. Re: Kann nicht sein!!!

    Squirrelchen | 19:20

  5. Re: Ich spreche aus Erfahrung

    Trockenobst | 19:19


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel