Abo
  • IT-Karriere:

Android-Apps: Appbugs warnt vor Apps mit unsicheren Logins

Mangelnde Verschlüsselung und gefälschte Zertifikate können dazu führen, dass Zugangsdaten beim Einloggen von Fremden abgegriffen werden können. Eine App will vor anderen, unzureichend abgesicherten Apps in Googles Play Store warnen - eine Aufgabe, die eigentlich Google übernehmen sollte.

Artikel veröffentlicht am ,
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch.
Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch. (Bild: Screenshot: Golem.de)

Appbugs heißt eine neue App für Googles mobiles Betriebssystem Android. Sie soll vor anderen Apps warnen, die Benutzerdaten unverschlüsselt übertragen oder anfällig sind für gefälschte Zertifikate. Appbugs wirft aber einige Fragen auf: Warum müssen sich externe Entwickler um ein Problem kümmern, das Google und vor allem die Entwickler selbst viel effizienter lösen können? Und: Wie viel Vertrauen kann man einer solchen Anwendung eigentlich schenken?

  • Wir hoffen, dass unser Android-Smartphone tatsächlich frei von Schwachstellen ist, wie von Appbugs vermeldet. (Screenshot: Golem.de)
  • Für die App gibt es ein kostenpflichtiges Upgrade mit etwas erweiterten Funktionen. (Screenshot: Golem.de)
Wir hoffen, dass unser Android-Smartphone tatsächlich frei von Schwachstellen ist, wie von Appbugs vermeldet. (Screenshot: Golem.de)
Stellenmarkt
  1. BWI GmbH, Bonn
  2. ManpowerGroup Deutschland GmbH & Co. KG, Kiel

Nach der Installation von Appbugs auf einem unserer Testgeräte dauerte der Scan nur wenige Sekunden. Keine der von uns installierten Apps sei unsicher, meldete die Software sogleich. Ein Gefühl der Sicherheit kam dabei nicht gerade auf. Und tatsächlich: Appbugs gleicht die Anwendungen nur anhand seiner eigenen Datenbank ab. Das klingt zunächst plausibel, denn eine eingehende Überprüfung würde nicht nur deutlich länger dauern, sondern auch erweiterte Rechte benötigen.

Hauptsächlich US-Apps wurden untersucht

Ein Blick auf die Webseite des Unternehmens und die bei Ars Technica vermeldete Vorstellung von Appbugs offenbart aber noch ein anderes Problem. Die von Appbugs geführte Liste der betroffenen Apps konzentriert sich weitgehend auf den US-Markt. Von der NBA-App Game Time ist die Rede, der man ein gefälschtes Zertifikat unterjubeln kann. Oder der App der US-Supermarktkette Safeway. Immerhin listet Appbugs auf seiner Webseite auch die App des Musikstreamingdienstes Last.fm auf, die wohl auch der eine oder andere Benutzer in Deutschland installiert hat.

Die Software ist kostenlos und bezeichnet sich selbst als Beta. Die Appbugs-Macher pflegen aber ihre Datenbank selbst. Inwiefern sie sämtliche Apps zeitnah überprüfen wollen und vor allem auch solchen von Unternehmen außerhalb der USA eine Priorität einräumen wollen, bleibt abzuwarten. Die Meldung, unser Android-Smartphone sei sicher, ist streng genommen nicht korrekt.

Kostenpflichtiges Upgrade für erweiterte Funktionen

Übrigens bietet Appbug noch die Möglichkeit eines kostenpflichtigen Abonnements. Dann erhält der Nutzer Details zu den Schwachstellen der betroffenen Apps und Hinweise, wie er sich schützen kann. Appbugs sorgt dann auch dafür, dass die fehlerhafte App deinstalliert und erst dann wieder installiert wird, wenn der Hersteller die Fehler repariert hat - und das alles ohne Werbung, die in der kostenfreien Variante angezeigt wird.

Appbugs wurde von Rui Wang und Stan Bounev gegründet, beides ehemalige Microsoft-Mitarbeiter. Wang war dort IT-Sicherheitsforscher, Bounev Produktmanager und unter anderem für die Werbeeinahmen bei Outlook.com zuständig.

Löbliche Lösung für ein grundlegendes Problem

Ihre Software spricht ein grundlegendes Problem bei der Umsetzung der Verschlüsselung in Apps an, das bereits seit längerem bekannt ist und offenbar von App-Entwicklern nur schleppend angegangen wird. Im September 2014 informierten Forscher von der Carnegie Mellon Universität, dass mehr als 23.000 untersuchte Apps gefälschte Zertifikate akzeptieren, sowohl unter Android als auch unter iOS. Eine Nachuntersuchung durch das City College in San Francisco Ende April 2015 ergab, dass sie in vielen populären Anwendungen immer noch enthalten waren. Insofern ist die Arbeit des Appbugs-Teams löblich.

Bleibt die Frage, warum Google oder Apple ihre Richtlinien für Apps, die in ihren offiziellen Stores angeboten werden, nicht hinreichend anpassen, um solche Probleme zu vermeiden. Ein automatisierter Scan vor der Zulassung zum Play Store sollte eigentlich kein Problem sein. Und schließlich sind auch die Entwickler gefragt, die offenbar trotz Warnungen das Problem nicht ernst nehmen.



Anzeige
Hardware-Angebote
  1. 529,00€
  2. (reduzierte Überstände, Restposten & Co.)
  3. 349,00€

Anonymer Nutzer 21. Jun 2015

www.kali.org/kali-linux-dojo-workshop/ www.offensive-security.com/information-security...


Folgen Sie uns
       


Pedelec HNF-Nicolai SD1 Urban ausprobiert

Wir sind das Pedelec eine Woche lang zur Probe gefahren und waren besonders vom Motor angetan.

Pedelec HNF-Nicolai SD1 Urban ausprobiert Video aufrufen
Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.


    Projektorkauf: Lumen, ANSI und mehr
    Projektorkauf
    Lumen, ANSI und mehr

    Gerade bei Projektoren werden auf Plattformen verschiedener Onlinehändler kuriose Angaben zur Helligkeit beziehungsweise Leuchtstärke gemacht - sofern diese überhaupt angegeben werden. Wir bringen etwas Licht ins Dunkel und beschäftigen uns mit Einheiten rund um das Thema Helligkeit.
    Von Mike Wobker


      iPad OS im Test: Apple entdeckt den USB-Stick
      iPad OS im Test
      Apple entdeckt den USB-Stick

      Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
      Ein Test von Tobias Költzsch

      1. Tablets Apple bringt neues iPad Air und iPad Mini
      2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
      3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

        •  /