Abo
  • Services:
Anzeige
Viele Entwickler sind bei der Programmierung von Android-Apps unvorsichtig.
Viele Entwickler sind bei der Programmierung von Android-Apps unvorsichtig. (Bild: Reuters)

Google Play: Android-Apps geben geheime Schlüssel preis

Tausende Android-Programme betten geheime Zugangsschlüssel direkt in den Quellcode ein. Angreifer können sich so Zugang zu privaten Accounts von App-Nutzern verschaffen.

Anzeige

Tausende Android-Apps betten eigentlich geheime Zugangsschlüssel direkt in ihren Quellcode ein. Mit Hilfe der Schlüssel können Angreifer an private Daten von App-Nutzern kommen oder die Server-Infrastruktur der Entwickler übernehmen. Das fanden Forscher der New Yorker Columbia-Universität heraus.

Die drei Informatiker untersuchten mehr als eine Million Apps aus dem Google Play Store und legten dabei Tausende von geheimen Zugangs-Tokens der App-Entwickler offen, die ihnen Zugang zu privaten Cloud-Konten wie Amazon Web Services (AWS) und dem Autorisierungsprotokoll OAuth verschafft hätten.

Bis zu 95 Prozent der Token auch Monate später noch gültig

Für den Test hatten die Forscher ein Tool namens Playdrone entwickelt, das auf mehreren Open-Source-Projekten wie Ruby, Git oder Elastic basiert und bestehende Sicherheitsschranken von Google Play umgehen kann. Mit dem Tool luden die Forscher mehr als 1,1 Millionen Apps herunter und durchsuchten den Quellcode nach Merkmalen von eigentlich geheimen Zugangs-Token wie bestimmten Buchstabenfolgen.

Innerhalb eines Tages hatten sie 308 gültige AWS-Zugangsdaten sowie 6228 OAuth-Token für Twitter und 460 für Facebook gefunden. Auch fünf Monate später seien noch immer zwischen 71 und 95 Prozent der Daten gültig gewesen. Im Fall der Couchsurfing-App Airbnb sei das OAuth-Token so schlecht konfiguriert gewesen, dass Angreifer damit unter anderem auf die Accounts von Millionen von Facebook-, Google- und Linkedin-Nutzern hätten zugreifen können, schrieben die Forscher.

Angreifer könnten mit den Accounts ein Botnetz erstellen

Schlimmer noch: Bei vielen AWS-Zugangsdaten handelte es sich nach Angaben der drei Forscher um Root-Level-Credentials, mit denen die fast uneingeschränkte Kontrolle über die virtuellen Maschinen der App-Entwickler in der Amazon Elastic Compute Cloud (EC2) übernommen werden kann. 288 der AWS-Token waren fünf Monate später noch gültig und hätten Angreifern die Möglichkeit gegeben, mit den virtuellen Maschinen ein Botnetz zu betreiben.

Die Forscher kritisierten, dass viele Entwickler den empfohlenen Umsetzungen bei der Programmierung der Apps nicht folgten und geheime Schlüssel direkt in den Quellcode einbetteten. Den Developern sei offenbar nicht bewusst, wie einfach Quellcode zurückübersetzt werden könne. Bereits im März hatten Forscher Zehntausende AWS-Zugangsdaten auf Github entdeckt.

Google verspricht Nachbesserung

Amazon empfiehlt für die Programmierung den Einsatz temporärer Zugangsdaten, Google setzt auf die Verwendung von OAuth 2.0 mit Token, die jeweils dynamisch generiert werden. Facebook empfiehlt Entwicklern, den geheimen Schlüssel auf einem Server zu lagern und Anfragen der App an Facebook durch diesen Server zu leiten.

Facebook, Twitter und Amazon haben inzwischen auf den Bericht reagiert. Die betroffenen Zugangsdaten wurden gesperrt und die Entwickler kontaktiert. Google versprach, an den Schutzfunktionen von Google Play zu arbeiten und Entwickler künftig automatisch zu warnen, wenn entsprechende Schlüssel in den Codes erkannt würden.


eye home zur Startseite
rommudoh 20. Jun 2014

Nein, die App muss sich erst einen Access-Token holen. Dazu musst du dich bei Facebook...

Feuerbach 20. Jun 2014

Jo, das ist echt schon wichtig. Vor allem in diesem Zusammenhang.

test1111 20. Jun 2014

Aus eigener Erfahrung. Es wird gemacht. Bei jedem update und beim ersten einstellen.



Anzeige

Stellenmarkt
  1. Interhyp Gruppe, München
  2. Regierungspräsidium Freiburg, Freiburg
  3. virtual solution AG, München
  4. L-Bank Staatsbank für Baden-Württemberg, Karlsruhe


Anzeige
Hardware-Angebote
  1. 1.029,00€ + 5,99€ Versand
  2. (Core i5-7600K + Asus GTX 1060 Dual OC)
  3. täglich neue Deals

Folgen Sie uns
       


  1. GPS Share

    Gnome-Anwendung teilt GPS-Daten im LAN

  2. Net-Based LAN Services

    T-Systems bietet WLAN as a Service ab Juni

  3. Angacom

    Unitymedia verlangt nach einem deutschen Hulu

  4. XYZprinting Nobel 1.0a im Test

    Wie aus einem Guss

  5. Square Enix

    Rollenspiel Lost Sphear mit Weltenerbauung angekündigt

  6. Gratis-WLAN

    EU gibt 120 Millionen Euro für 8.000 Hotspots aus

  7. Continental

    All Charge macht Elektroautos kompatibel für alle Ladesäulen

  8. Rime

    Entwickler kündigen Entfernung von Denuvo nach Crack an

  9. Inspiron Gaming Desktop

    Dell steckt AMDs Ryzen in Komplett-PC

  10. Bluetooth-Wandschalter

    Enocean steuert das Licht mit Energy Harvesting



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Qualcomm lädt E-Autos während der Fahrt auf
Elektromobilität
Qualcomm lädt E-Autos während der Fahrt auf
  1. Intel und Samsung Qualcomm wird massive Störung des Wettbewerbs vorgeworfen
  2. Feldstudie Qualcomm testet erfolgreich LTE-Steuerung von Multicoptern
  3. Apple Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

Razer Core im Test: Grafikbox + Ultrabook = Gaming-System
Razer Core im Test
Grafikbox + Ultrabook = Gaming-System
  1. Gaming-Notebook Razer will das Blade per GTX 1070 aufrüsten
  2. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang
  3. 17,3-Zoll-Notebook Razer aktualisiert das Blade Pro mit THX-Zertifizierung

Matebook X und E im Hands on: Huawei kann auch Notebooks
Matebook X und E im Hands on
Huawei kann auch Notebooks
  1. Matebook X Huawei stellt erstes Notebook vor
  2. Trotz eigener Geräte Huawei-Chef sieht keinen Sinn in Smartwatches
  3. Huawei Matebook Erste Infos zu kommenden Huawei-Notebooks aufgetaucht

  1. Re: CPU Benchmark

    Phantom | 13:29

  2. Re: 15k pro AP?

    IncredibleAlk | 13:28

  3. Re: Völliger Schwachsinn

    Meisterqn | 13:27

  4. Re: Ergonomische Tastaturen mit Cherry-MX-Blue...

    SelfEsteem | 13:26

  5. Re: Nachbearbeitung

    bazoom | 13:26


  1. 13:09

  2. 12:45

  3. 12:32

  4. 12:03

  5. 11:52

  6. 11:40

  7. 11:34

  8. 10:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel