Abo
  • Services:
Anzeige
Viele Entwickler sind bei der Programmierung von Android-Apps unvorsichtig.
Viele Entwickler sind bei der Programmierung von Android-Apps unvorsichtig. (Bild: Reuters)

Google Play: Android-Apps geben geheime Schlüssel preis

Tausende Android-Programme betten geheime Zugangsschlüssel direkt in den Quellcode ein. Angreifer können sich so Zugang zu privaten Accounts von App-Nutzern verschaffen.

Anzeige

Tausende Android-Apps betten eigentlich geheime Zugangsschlüssel direkt in ihren Quellcode ein. Mit Hilfe der Schlüssel können Angreifer an private Daten von App-Nutzern kommen oder die Server-Infrastruktur der Entwickler übernehmen. Das fanden Forscher der New Yorker Columbia-Universität heraus.

Die drei Informatiker untersuchten mehr als eine Million Apps aus dem Google Play Store und legten dabei Tausende von geheimen Zugangs-Tokens der App-Entwickler offen, die ihnen Zugang zu privaten Cloud-Konten wie Amazon Web Services (AWS) und dem Autorisierungsprotokoll OAuth verschafft hätten.

Bis zu 95 Prozent der Token auch Monate später noch gültig

Für den Test hatten die Forscher ein Tool namens Playdrone entwickelt, das auf mehreren Open-Source-Projekten wie Ruby, Git oder Elastic basiert und bestehende Sicherheitsschranken von Google Play umgehen kann. Mit dem Tool luden die Forscher mehr als 1,1 Millionen Apps herunter und durchsuchten den Quellcode nach Merkmalen von eigentlich geheimen Zugangs-Token wie bestimmten Buchstabenfolgen.

Innerhalb eines Tages hatten sie 308 gültige AWS-Zugangsdaten sowie 6228 OAuth-Token für Twitter und 460 für Facebook gefunden. Auch fünf Monate später seien noch immer zwischen 71 und 95 Prozent der Daten gültig gewesen. Im Fall der Couchsurfing-App Airbnb sei das OAuth-Token so schlecht konfiguriert gewesen, dass Angreifer damit unter anderem auf die Accounts von Millionen von Facebook-, Google- und Linkedin-Nutzern hätten zugreifen können, schrieben die Forscher.

Angreifer könnten mit den Accounts ein Botnetz erstellen

Schlimmer noch: Bei vielen AWS-Zugangsdaten handelte es sich nach Angaben der drei Forscher um Root-Level-Credentials, mit denen die fast uneingeschränkte Kontrolle über die virtuellen Maschinen der App-Entwickler in der Amazon Elastic Compute Cloud (EC2) übernommen werden kann. 288 der AWS-Token waren fünf Monate später noch gültig und hätten Angreifern die Möglichkeit gegeben, mit den virtuellen Maschinen ein Botnetz zu betreiben.

Die Forscher kritisierten, dass viele Entwickler den empfohlenen Umsetzungen bei der Programmierung der Apps nicht folgten und geheime Schlüssel direkt in den Quellcode einbetteten. Den Developern sei offenbar nicht bewusst, wie einfach Quellcode zurückübersetzt werden könne. Bereits im März hatten Forscher Zehntausende AWS-Zugangsdaten auf Github entdeckt.

Google verspricht Nachbesserung

Amazon empfiehlt für die Programmierung den Einsatz temporärer Zugangsdaten, Google setzt auf die Verwendung von OAuth 2.0 mit Token, die jeweils dynamisch generiert werden. Facebook empfiehlt Entwicklern, den geheimen Schlüssel auf einem Server zu lagern und Anfragen der App an Facebook durch diesen Server zu leiten.

Facebook, Twitter und Amazon haben inzwischen auf den Bericht reagiert. Die betroffenen Zugangsdaten wurden gesperrt und die Entwickler kontaktiert. Google versprach, an den Schutzfunktionen von Google Play zu arbeiten und Entwickler künftig automatisch zu warnen, wenn entsprechende Schlüssel in den Codes erkannt würden.


eye home zur Startseite
rommudoh 20. Jun 2014

Nein, die App muss sich erst einen Access-Token holen. Dazu musst du dich bei Facebook...

Feuerbach 20. Jun 2014

Jo, das ist echt schon wichtig. Vor allem in diesem Zusammenhang.

test1111 20. Jun 2014

Aus eigener Erfahrung. Es wird gemacht. Bei jedem update und beim ersten einstellen.



Anzeige

Stellenmarkt
  1. Commerz Finanz GmbH, München
  2. PSI Logistics GmbH, Aschaffenburg
  3. e.solutions GmbH, Erlangen
  4. über Jobware Personalberatung, Raum Bielefeld


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 69,99€
  3. 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. All Walls Must Fall

    Strategie und Zeitreisen in Berlin

  2. Breitbandmessung

    Nutzer erhalten meist nicht versprochene Datenrate

  3. Azure Service Fabric

    Microsoft legt wichtige Cloud-Werkzeuge offen

  4. Internet of Things

    Fehler in Geschirrspüler ermöglicht Zugriff auf Webserver

  5. Vikings im Kurztest

    Tiefgekühlt kämpfen

  6. Deep Sea Mining

    Nautilus Minerals will Gold auf dem Meeresgrund abbauen

  7. Festplatten zerstören

    Wie man in 60 Sekunden ein Datencenter auslöscht

  8. Supercomputer

    HPE und BASF kooperieren für die industrielle Chemie

  9. Lufthansa

    Hyperloop könnte innerdeutsche Flüge ersetzen

  10. Blitzkrieg 3

    Neuronale-Netzwerke-KI für Echtzeit-Strategiespiel verfügbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Android O im Test: Oreo, Ovomaltine, Orange
Android O im Test
Oreo, Ovomaltine, Orange
  1. Android O Alte Crypto raus und neuer Datenschutz rein
  2. Developer Preview Google veröffentlicht erste Vorschau von Android O
  3. Android O Google will Android intelligenter machen

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Patentantrag Apple will iPhone ins Macbook stecken
  2. Übernahme Apple kauft iOS-Automatisierungs-Tool Workflow
  3. Instandsetzung Apple macht iPhone-Reparaturen teurer

  1. Re: Mit dem Transrapid hätte man...

    M.P. | 16:25

  2. Erst wenn sie nachts starten oder falsch spülen.

    dokape | 16:23

  3. Re: Warum nicht einfach verschlüsseln?

    deadeye | 16:23

  4. Datenrate standardmäßig gedrosselt?

    Icestorm | 16:22

  5. Re: wem gehört "Hyperloop"?

    PhilSt | 16:22


  1. 16:20

  2. 16:04

  3. 15:18

  4. 14:15

  5. 14:00

  6. 13:30

  7. 12:00

  8. 11:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel