Abo
  • Services:
Anzeige
Viele Entwickler sind bei der Programmierung von Android-Apps unvorsichtig.
Viele Entwickler sind bei der Programmierung von Android-Apps unvorsichtig. (Bild: Reuters)

Google Play: Android-Apps geben geheime Schlüssel preis

Tausende Android-Programme betten geheime Zugangsschlüssel direkt in den Quellcode ein. Angreifer können sich so Zugang zu privaten Accounts von App-Nutzern verschaffen.

Anzeige

Tausende Android-Apps betten eigentlich geheime Zugangsschlüssel direkt in ihren Quellcode ein. Mit Hilfe der Schlüssel können Angreifer an private Daten von App-Nutzern kommen oder die Server-Infrastruktur der Entwickler übernehmen. Das fanden Forscher der New Yorker Columbia-Universität heraus.

Die drei Informatiker untersuchten mehr als eine Million Apps aus dem Google Play Store und legten dabei Tausende von geheimen Zugangs-Tokens der App-Entwickler offen, die ihnen Zugang zu privaten Cloud-Konten wie Amazon Web Services (AWS) und dem Autorisierungsprotokoll OAuth verschafft hätten.

Bis zu 95 Prozent der Token auch Monate später noch gültig

Für den Test hatten die Forscher ein Tool namens Playdrone entwickelt, das auf mehreren Open-Source-Projekten wie Ruby, Git oder Elastic basiert und bestehende Sicherheitsschranken von Google Play umgehen kann. Mit dem Tool luden die Forscher mehr als 1,1 Millionen Apps herunter und durchsuchten den Quellcode nach Merkmalen von eigentlich geheimen Zugangs-Token wie bestimmten Buchstabenfolgen.

Innerhalb eines Tages hatten sie 308 gültige AWS-Zugangsdaten sowie 6228 OAuth-Token für Twitter und 460 für Facebook gefunden. Auch fünf Monate später seien noch immer zwischen 71 und 95 Prozent der Daten gültig gewesen. Im Fall der Couchsurfing-App Airbnb sei das OAuth-Token so schlecht konfiguriert gewesen, dass Angreifer damit unter anderem auf die Accounts von Millionen von Facebook-, Google- und Linkedin-Nutzern hätten zugreifen können, schrieben die Forscher.

Angreifer könnten mit den Accounts ein Botnetz erstellen

Schlimmer noch: Bei vielen AWS-Zugangsdaten handelte es sich nach Angaben der drei Forscher um Root-Level-Credentials, mit denen die fast uneingeschränkte Kontrolle über die virtuellen Maschinen der App-Entwickler in der Amazon Elastic Compute Cloud (EC2) übernommen werden kann. 288 der AWS-Token waren fünf Monate später noch gültig und hätten Angreifern die Möglichkeit gegeben, mit den virtuellen Maschinen ein Botnetz zu betreiben.

Die Forscher kritisierten, dass viele Entwickler den empfohlenen Umsetzungen bei der Programmierung der Apps nicht folgten und geheime Schlüssel direkt in den Quellcode einbetteten. Den Developern sei offenbar nicht bewusst, wie einfach Quellcode zurückübersetzt werden könne. Bereits im März hatten Forscher Zehntausende AWS-Zugangsdaten auf Github entdeckt.

Google verspricht Nachbesserung

Amazon empfiehlt für die Programmierung den Einsatz temporärer Zugangsdaten, Google setzt auf die Verwendung von OAuth 2.0 mit Token, die jeweils dynamisch generiert werden. Facebook empfiehlt Entwicklern, den geheimen Schlüssel auf einem Server zu lagern und Anfragen der App an Facebook durch diesen Server zu leiten.

Facebook, Twitter und Amazon haben inzwischen auf den Bericht reagiert. Die betroffenen Zugangsdaten wurden gesperrt und die Entwickler kontaktiert. Google versprach, an den Schutzfunktionen von Google Play zu arbeiten und Entwickler künftig automatisch zu warnen, wenn entsprechende Schlüssel in den Codes erkannt würden.


eye home zur Startseite
rommudoh 20. Jun 2014

Nein, die App muss sich erst einen Access-Token holen. Dazu musst du dich bei Facebook...

Feuerbach 20. Jun 2014

Jo, das ist echt schon wichtig. Vor allem in diesem Zusammenhang.

test1111 20. Jun 2014

Aus eigener Erfahrung. Es wird gemacht. Bei jedem update und beim ersten einstellen.



Anzeige

Stellenmarkt
  1. über JobLeads GmbH, München
  2. Robert Bosch GmbH, Abstatt
  3. HORNBACH, Großraum Mannheim/Karlsruhe
  4. Robert Bosch GmbH, Crailsheim


Anzeige
Spiele-Angebote
  1. 47,99€
  2. ab 129,99€
  3. (-15%) 25,49€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Festnetz

    O2 will in Deutschland letzte Meile per Funk überwinden

  2. Robocar

    Roborace präsentiert Roboterboliden

  3. Code.mil

    US-Militär sucht nach Lizenz für externe Code-Beiträge

  4. Project Zero

    Erneut ungepatchter Microsoft-Bug veröffentlicht

  5. Twitch

    Videostreamer verdienen am Spieleverkauf

  6. Neuer Mobilfunk

    Telekom-Chef nennt 5G-Ausbau "sehr teuer"

  7. Luftfahrt

    Nasa testet Überschallpassagierflugzeug im Windkanal

  8. Lenovo

    Moto Mod macht Moto Z zum Spiele-Handheld

  9. Alternatives Betriebssystem

    Jolla will Sailfish OS auf Sony-Smartphones bringen

  10. Gamesbranche

    PC-Plattform ist bei Spielentwicklern am beliebtesten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bodyhacking: Ich, einfach unverbesserlich
Bodyhacking
Ich, einfach unverbesserlich

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

LineageOS im Test: Das neue Cyanogenmod ist fast das alte Cyanogenmod
LineageOS im Test
Das neue Cyanogenmod ist fast das alte Cyanogenmod
  1. Ex-Cyanogenmod LineageOS startet mit den ersten fünf Smartphones
  2. Smartphone-OS Cyanogenmod ist tot, lang lebe Lineage

  1. Re: Jaa wenn es um Geld geht....

    neocron | 23:36

  2. Re: welche siebträgermaschine?

    Kaffeegenießer1999 | 23:36

  3. Re: Nur 2G?

    Sandeeh | 23:26

  4. Supercruise?

    McWiesel | 23:26

  5. Re: Absurd...

    ChMu | 23:26


  1. 18:18

  2. 17:56

  3. 17:38

  4. 17:21

  5. 17:06

  6. 16:32

  7. 16:12

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel