Unsichere Apps: Millionen Kundendaten gefährdet

Noch immer gehen App-Entwickler fahrlässig mit Benutzerdaten um. Eine Studie des Fraunhofer SIT ergab, dass mehrere Millionen Datensätze in der Cloud gefährdet sind - wegen eines zu laxen Umgangs mit der Authentifizierung.

Artikel veröffentlicht am ,
Unzureichend abgesicherte App-Datenbanken in der Cloud gefährden Millionen Kundendaten.
Unzureichend abgesicherte App-Datenbanken in der Cloud gefährden Millionen Kundendaten. (Bild: Peter Macdiarmid/Getty Images)

Entwickler legen immer noch bevorzugt geheime Schlüssel und Token für den Zugang zum Cloudspeicher ungeschützt in ihren Apps ab. Mit nur wenig Aufwand lassen sie sich auslesen. Damit könnten sich Kriminelle Zugang zu Datenbanken etwa in den Amazon Web Services (AWS) oder bei Facebook verschaffen. Bis zu 56 Millionen Datensätze seien so gefährdet, schätzt das Fraunhofer Institut für Sicherheit in der Informationstechnik (SIT).

Stellenmarkt
  1. Softwareentwickler - DSP (m/w/d)
    KACO new energy GmbH, Neckarsulm
  2. Software-Entwickler (w/m/d) für POS-Retail-Applikationen
    BEST System Technik GmbH, Bielefeld
Detailsuche

Zusammen mit der Technischen Universität Darmstadt und Experten bei Intel untersuchte das Fraunhofer SIT in einem automatisierten Verfahren etwa zwei Millionen Apps in Googles Play Store und Apples App Store. In vielen sei die einfachste Form der Authentifizierung für den Zugang zu Cloud-Anbietern umgesetzt. Den Entwicklern sei offenbar nicht bewusst, wie unzureichend die von den Apps gesammelten Daten damit geschützt seien.

Uneingeschränkter Zugang zu Kundendaten

Bei ihren Versuchen konnten die Wissenschaftler nicht nur höchst persönliche Daten auslesen, etwa wer mit wem bei Facebook befreundet ist oder gesundheitliche Informationen einiger App-Benutzer. Mit Hilfe der eigentlich geheimen Schlüssel hätten sie komplette Benutzerdatenbanken auslesen oder sogar manipulieren können.

Der Bericht kommt zu dem Schluss, dass Anwender sich kaum aktiv schützen können. Sie sollten daher vorsichtig sein, welcher App sie persönliche Informationen anvertrauen. Entwickler hingegen sollten sich über die Sicherheitsvorkehrungen der Cloud-Anbieter besser informieren und restriktivere Zugangskontrollen in ihren Apps implementieren. Die Forscher haben bereits einige Entwickler über besonders kritische Schwachstellen informiert.

Cloud-Anbieter müssen handeln

Golem Karrierewelt
  1. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    14./15.12.2022, virtuell
  2. Deep Dive: Data Governance Fundamentals: virtueller Ein-Tages-Workshop
    22.02.2023, Virtuell
Weitere IT-Trainings

Auch mit den Anbietern der Cloud-Dienste stehe das Fraunhofer SIT in Kontakt. Sowohl Amazon als auch Facebooks Parse.com, Google und Apple wurden über den Befund informiert. Den Cloud-Anbietern obliege ebenfalls die Verantwortung, die App-Entwickler dazu zu bringen, nicht nur die schwächsten Authentifizierungen zu nutzen. Außerdem sollten die Cloud-Anbieter nicht bequeme, sondern möglichst sichere Standards zur Pflicht machen.

Das Problem ist nicht neu. Bereits im Juni 2014 machten Forscher an der New Yorker Columbia-Universität eine ähnliche Untersuchung und legten dabei Tausende geheime Zugangs-Token für Amazons Web Services offen. Die Forscher kritisierten damals, dass viele Entwickler den empfohlenen Umsetzungen bei der Programmierung der Apps nicht folgten und geheime Schlüssel direkt in den Quellcode einbetteten. Ihnen sei offenbar nicht bewusst, wie einfach Quellcode zurückübersetzt werden könne. Im März 2014 hatten Forscher Zehntausende AWS-Zugangsdaten auf Github entdeckt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Urheberrechtsverletzung
US-Marine muss Strafe an deutsche Firma bezahlen

Noch während der Lizenzverhandlungen installierte die US-Marine eine Software auf über 500.000 Rechnern. Sechs Jahre später muss sie dafür bezahlen.

Urheberrechtsverletzung: US-Marine muss Strafe an deutsche Firma bezahlen
Artikel
  1. Karmesin und Purpur: Nintendo entschuldigt sich für Probleme mit Pokémon
    Karmesin und Purpur
    Nintendo entschuldigt sich für Probleme mit Pokémon

    Schwache Grafik und trotzdem Ruckler: Viele Spieler ärgern sich über den technischen Zustand von Pokémon Karmesin/Purpur.

  2. Bayern: Arbeitszeit von mehr als 10 Stunden am Tag gefordert
    Bayern
    Arbeitszeit von mehr als 10 Stunden am Tag gefordert

    Die bayerische Arbeitsministerin plädiert für mehr Flexibilität am Arbeitsplatz und will mehr als zehn Stunden Arbeit pro Tag erlauben.

  3. EuGH: Google legt erneut Einspruch gegen Milliardenstrafe ein
    EuGH
    Google legt erneut Einspruch gegen Milliardenstrafe ein

    Google will keine 4,125 Milliarden Euro zahlen und zieht mit dem Fall vor den Europäischen Gerichthof. Es geht um Android.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • LG OLED TV (2022) 55" 120Hz 949€ • Mindstar: Geforce RTX 4080 1.449€ • Tiefstpreise: G.Skill 32GB Kitt DDR5-7200 • 351,99€ Crucial SSD 4TB 319€, HTC Vive Pro 2 659€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger [Werbung]
    •  /