Abo
  • Services:
Anzeige
Viele Entwickler sind bei der Programmierung von Android-Apps unvorsichtig.
Viele Entwickler sind bei der Programmierung von Android-Apps unvorsichtig. (Bild: Reuters)

Google Play: Android-Apps geben geheime Schlüssel preis

Tausende Android-Programme betten geheime Zugangsschlüssel direkt in den Quellcode ein. Angreifer können sich so Zugang zu privaten Accounts von App-Nutzern verschaffen.

Anzeige

Tausende Android-Apps betten eigentlich geheime Zugangsschlüssel direkt in ihren Quellcode ein. Mit Hilfe der Schlüssel können Angreifer an private Daten von App-Nutzern kommen oder die Server-Infrastruktur der Entwickler übernehmen. Das fanden Forscher der New Yorker Columbia-Universität heraus.

Die drei Informatiker untersuchten mehr als eine Million Apps aus dem Google Play Store und legten dabei Tausende von geheimen Zugangs-Tokens der App-Entwickler offen, die ihnen Zugang zu privaten Cloud-Konten wie Amazon Web Services (AWS) und dem Autorisierungsprotokoll OAuth verschafft hätten.

Bis zu 95 Prozent der Token auch Monate später noch gültig

Für den Test hatten die Forscher ein Tool namens Playdrone entwickelt, das auf mehreren Open-Source-Projekten wie Ruby, Git oder Elastic basiert und bestehende Sicherheitsschranken von Google Play umgehen kann. Mit dem Tool luden die Forscher mehr als 1,1 Millionen Apps herunter und durchsuchten den Quellcode nach Merkmalen von eigentlich geheimen Zugangs-Token wie bestimmten Buchstabenfolgen.

Innerhalb eines Tages hatten sie 308 gültige AWS-Zugangsdaten sowie 6228 OAuth-Token für Twitter und 460 für Facebook gefunden. Auch fünf Monate später seien noch immer zwischen 71 und 95 Prozent der Daten gültig gewesen. Im Fall der Couchsurfing-App Airbnb sei das OAuth-Token so schlecht konfiguriert gewesen, dass Angreifer damit unter anderem auf die Accounts von Millionen von Facebook-, Google- und Linkedin-Nutzern hätten zugreifen können, schrieben die Forscher.

Angreifer könnten mit den Accounts ein Botnetz erstellen

Schlimmer noch: Bei vielen AWS-Zugangsdaten handelte es sich nach Angaben der drei Forscher um Root-Level-Credentials, mit denen die fast uneingeschränkte Kontrolle über die virtuellen Maschinen der App-Entwickler in der Amazon Elastic Compute Cloud (EC2) übernommen werden kann. 288 der AWS-Token waren fünf Monate später noch gültig und hätten Angreifern die Möglichkeit gegeben, mit den virtuellen Maschinen ein Botnetz zu betreiben.

Die Forscher kritisierten, dass viele Entwickler den empfohlenen Umsetzungen bei der Programmierung der Apps nicht folgten und geheime Schlüssel direkt in den Quellcode einbetteten. Den Developern sei offenbar nicht bewusst, wie einfach Quellcode zurückübersetzt werden könne. Bereits im März hatten Forscher Zehntausende AWS-Zugangsdaten auf Github entdeckt.

Google verspricht Nachbesserung

Amazon empfiehlt für die Programmierung den Einsatz temporärer Zugangsdaten, Google setzt auf die Verwendung von OAuth 2.0 mit Token, die jeweils dynamisch generiert werden. Facebook empfiehlt Entwicklern, den geheimen Schlüssel auf einem Server zu lagern und Anfragen der App an Facebook durch diesen Server zu leiten.

Facebook, Twitter und Amazon haben inzwischen auf den Bericht reagiert. Die betroffenen Zugangsdaten wurden gesperrt und die Entwickler kontaktiert. Google versprach, an den Schutzfunktionen von Google Play zu arbeiten und Entwickler künftig automatisch zu warnen, wenn entsprechende Schlüssel in den Codes erkannt würden.


eye home zur Startseite
rommudoh 20. Jun 2014

Nein, die App muss sich erst einen Access-Token holen. Dazu musst du dich bei Facebook...

Feuerbach 20. Jun 2014

Jo, das ist echt schon wichtig. Vor allem in diesem Zusammenhang.

test1111 20. Jun 2014

Aus eigener Erfahrung. Es wird gemacht. Bei jedem update und beim ersten einstellen.



Anzeige

Stellenmarkt
  1. Daimler AG, Sindelfingen
  2. Sky Deutschland GmbH, Unterföhring
  3. über Harvey Nash GmbH, Berlin
  4. Deutsche Edelstahlwerke GmbH, Witten


Anzeige
Hardware-Angebote
  1. 355,81€
  2. (Core i5-7600K + Asus GTX 1060 Dual OC)
  3. 6,99€

Folgen Sie uns
       


  1. Antriebsstrang aus Deutschland

    BMW baut elektrischen Mini in Oxford

  2. Adobe

    Die Flash-Ära endet 2020

  3. Falscher Schulz-Tweet

    Junge Union macht Wahlkampf mit Fake-News

  4. BiCS3 X4

    WDs Flash-Speicher fasst 96 GByte pro Chip

  5. ARM Trustzone

    Google bescheinigt Android Vertrauensprobleme

  6. Überbauen

    Telekom setzt Vectoring gegen Glasfaser der Kommunen ein

  7. Armatix

    Smart Gun lässt sich mit Magneten hacken

  8. SR5012 und SR6012

    Marantz stellt zwei neue vernetzte AV-Receiver vor

  9. Datenrate

    Vodafone weitet 500 MBit/s im Kabelnetz aus

  10. IT-Outsourcing

    Schweden kaufte Clouddienste ohne Sicherheitsprüfung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Moto Z2 Play im Test: Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
Moto Z2 Play im Test
Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
  1. Modulares Smartphone Moto Z2 Play kostet mit Lautsprecher-Mod 520 Euro
  2. Lenovo Hochleistungs-Akku-Mod für Moto Z
  3. Moto Z Schiebetastatur-Mod hat Finanzierungsziel erreicht

Neuer A8 vorgestellt: Audis Staupilot steckt noch im Zulassungsstau
Neuer A8 vorgestellt
Audis Staupilot steckt noch im Zulassungsstau
  1. Autonomes Fahren Continental will beim Kartendienst Here einsteigen
  2. Verbrenner Porsche denkt über Dieselausstieg nach
  3. Autonomes Fahren Audi lässt Kunden selbstfahrenden A7 testen

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  2. Asus Das Zenbook Flip S ist 10,9 mm flach
  3. Anker Powercore+ 26800 PD Akkupack liefert Strom per Power Delivery über USB Typ C

  1. Re: Bei uns passiert das sogar bei einzelnen Stra...

    chefin | 08:54

  2. Re: Viel zu spät

    maverick1977 | 08:53

  3. Macht nichts:

    Missingno. | 08:52

  4. Re: Ich benutze zwar kein Android

    Trollversteher | 08:50

  5. Re: Fake News vs. Satire

    Palerider | 08:48


  1. 07:10

  2. 21:02

  3. 18:42

  4. 15:46

  5. 15:02

  6. 14:09

  7. 13:37

  8. 13:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel