Abo
  • Services:
Anzeige
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch.
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch. (Bild: Screenshot: Golem.de)

Android-Apps: Appbugs warnt vor Apps mit unsicheren Logins

Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch.
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch. (Bild: Screenshot: Golem.de)

Mangelnde Verschlüsselung und gefälschte Zertifikate können dazu führen, dass Zugangsdaten beim Einloggen von Fremden abgegriffen werden können. Eine App will vor anderen, unzureichend abgesicherten Apps in Googles Play Store warnen - eine Aufgabe, die eigentlich Google übernehmen sollte.

Anzeige

Appbugs heißt eine neue App für Googles mobiles Betriebssystem Android. Sie soll vor anderen Apps warnen, die Benutzerdaten unverschlüsselt übertragen oder anfällig sind für gefälschte Zertifikate. Appbugs wirft aber einige Fragen auf: Warum müssen sich externe Entwickler um ein Problem kümmern, das Google und vor allem die Entwickler selbst viel effizienter lösen können? Und: Wie viel Vertrauen kann man einer solchen Anwendung eigentlich schenken?

  • Wir hoffen, dass unser Android-Smartphone tatsächlich frei von Schwachstellen ist, wie von Appbugs vermeldet. (Screenshot: Golem.de)
  • Für die App gibt es ein kostenpflichtiges Upgrade mit etwas erweiterten Funktionen. (Screenshot: Golem.de)
Wir hoffen, dass unser Android-Smartphone tatsächlich frei von Schwachstellen ist, wie von Appbugs vermeldet. (Screenshot: Golem.de)

Nach der Installation von Appbugs auf einem unserer Testgeräte dauerte der Scan nur wenige Sekunden. Keine der von uns installierten Apps sei unsicher, meldete die Software sogleich. Ein Gefühl der Sicherheit kam dabei nicht gerade auf. Und tatsächlich: Appbugs gleicht die Anwendungen nur anhand seiner eigenen Datenbank ab. Das klingt zunächst plausibel, denn eine eingehende Überprüfung würde nicht nur deutlich länger dauern, sondern auch erweiterte Rechte benötigen.

Hauptsächlich US-Apps wurden untersucht

Ein Blick auf die Webseite des Unternehmens und die bei Ars Technica vermeldete Vorstellung von Appbugs offenbart aber noch ein anderes Problem. Die von Appbugs geführte Liste der betroffenen Apps konzentriert sich weitgehend auf den US-Markt. Von der NBA-App Game Time ist die Rede, der man ein gefälschtes Zertifikat unterjubeln kann. Oder der App der US-Supermarktkette Safeway. Immerhin listet Appbugs auf seiner Webseite auch die App des Musikstreamingdienstes Last.fm auf, die wohl auch der eine oder andere Benutzer in Deutschland installiert hat.

Die Software ist kostenlos und bezeichnet sich selbst als Beta. Die Appbugs-Macher pflegen aber ihre Datenbank selbst. Inwiefern sie sämtliche Apps zeitnah überprüfen wollen und vor allem auch solchen von Unternehmen außerhalb der USA eine Priorität einräumen wollen, bleibt abzuwarten. Die Meldung, unser Android-Smartphone sei sicher, ist streng genommen nicht korrekt.

Kostenpflichtiges Upgrade für erweiterte Funktionen

Übrigens bietet Appbug noch die Möglichkeit eines kostenpflichtigen Abonnements. Dann erhält der Nutzer Details zu den Schwachstellen der betroffenen Apps und Hinweise, wie er sich schützen kann. Appbugs sorgt dann auch dafür, dass die fehlerhafte App deinstalliert und erst dann wieder installiert wird, wenn der Hersteller die Fehler repariert hat - und das alles ohne Werbung, die in der kostenfreien Variante angezeigt wird.

Appbugs wurde von Rui Wang und Stan Bounev gegründet, beides ehemalige Microsoft-Mitarbeiter. Wang war dort IT-Sicherheitsforscher, Bounev Produktmanager und unter anderem für die Werbeeinahmen bei Outlook.com zuständig.

Löbliche Lösung für ein grundlegendes Problem

Ihre Software spricht ein grundlegendes Problem bei der Umsetzung der Verschlüsselung in Apps an, das bereits seit längerem bekannt ist und offenbar von App-Entwicklern nur schleppend angegangen wird. Im September 2014 informierten Forscher von der Carnegie Mellon Universität, dass mehr als 23.000 untersuchte Apps gefälschte Zertifikate akzeptieren, sowohl unter Android als auch unter iOS. Eine Nachuntersuchung durch das City College in San Francisco Ende April 2015 ergab, dass sie in vielen populären Anwendungen immer noch enthalten waren. Insofern ist die Arbeit des Appbugs-Teams löblich.

Bleibt die Frage, warum Google oder Apple ihre Richtlinien für Apps, die in ihren offiziellen Stores angeboten werden, nicht hinreichend anpassen, um solche Probleme zu vermeiden. Ein automatisierter Scan vor der Zulassung zum Play Store sollte eigentlich kein Problem sein. Und schließlich sind auch die Entwickler gefragt, die offenbar trotz Warnungen das Problem nicht ernst nehmen.


eye home zur Startseite
Anonymer Nutzer 21. Jun 2015

www.kali.org/kali-linux-dojo-workshop/ www.offensive-security.com/information-security...



Anzeige

Stellenmarkt
  1. DEKRA SE, Stuttgart
  2. L-Bank Staatsbank für Baden-Württemberg, Karlsruhe
  3. Deutsche Bundesbank, Frankfurt am Main
  4. ADWEKO Consulting GmbH, deutschlandweit


Anzeige
Spiele-Angebote
  1. 59,99€/69,99€ (Vorbesteller-Preisgarantie)
  2. 59,99€/69,99€ (Vorbesteller-Preisgarantie)
  3. 49,99€

Folgen Sie uns
       


  1. GPS Share

    Gnome-Anwendung teilt GPS-Daten im LAN

  2. Net-Based LAN Services

    T-Systems bietet WLAN as a Service ab Juni

  3. Angacom

    Unitymedia verlangt nach einem deutschen Hulu

  4. XYZprinting Nobel 1.0a im Test

    Wie aus einem Guss

  5. Square Enix

    Rollenspiel Lost Sphear mit Weltenerbauung angekündigt

  6. Gratis-WLAN

    EU gibt 120 Millionen Euro für 8.000 Hotspots aus

  7. Continental

    All Charge macht Elektroautos kompatibel für alle Ladesäulen

  8. Rime

    Entwickler kündigen Entfernung von Denuvo nach Crack an

  9. Inspiron Gaming Desktop

    Dell steckt AMDs Ryzen in Komplett-PC

  10. Bluetooth-Wandschalter

    Enocean steuert das Licht mit Energy Harvesting



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Qualcomm lädt E-Autos während der Fahrt auf
Elektromobilität
Qualcomm lädt E-Autos während der Fahrt auf
  1. Intel und Samsung Qualcomm wird massive Störung des Wettbewerbs vorgeworfen
  2. Feldstudie Qualcomm testet erfolgreich LTE-Steuerung von Multicoptern
  3. Apple Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

Razer Core im Test: Grafikbox + Ultrabook = Gaming-System
Razer Core im Test
Grafikbox + Ultrabook = Gaming-System
  1. Gaming-Notebook Razer will das Blade per GTX 1070 aufrüsten
  2. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang
  3. 17,3-Zoll-Notebook Razer aktualisiert das Blade Pro mit THX-Zertifizierung

Matebook X und E im Hands on: Huawei kann auch Notebooks
Matebook X und E im Hands on
Huawei kann auch Notebooks
  1. Matebook X Huawei stellt erstes Notebook vor
  2. Trotz eigener Geräte Huawei-Chef sieht keinen Sinn in Smartwatches
  3. Huawei Matebook Erste Infos zu kommenden Huawei-Notebooks aufgetaucht

  1. Re: Paranoia erzeugt Angst

    Muhaha | 12:55

  2. Nachbearbeitung

    robby659 | 12:55

  3. Re: Stromverbrauch im Vergleich

    Neutrinoseuche | 12:55

  4. Re: immerhin sie merken was abgeht

    rafterman | 12:54

  5. Re: Was Hans schon nicht kann...

    plutoniumsulfat | 12:53


  1. 13:09

  2. 12:45

  3. 12:32

  4. 12:03

  5. 11:52

  6. 11:40

  7. 11:34

  8. 10:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel