Leichtes Spiel für Hacker 29.05.2015, 08:51 Uhr

App-Entwickler schlampen bei der Sicherheit

Passwörter und Adressen, Photos, Videos und Gesundheitsdaten aus Smartphone-Apps landen millionenfach ungesichert in der Cloud. Das haben Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie SIT entdeckt. Die Schlamperei geht vor allem auf das Konto der App-Entwickler und ermöglicht Hackern leichtes Spiel. 

Apps auf einem Smartphone: Die Fraunhofer-Forscher haben 750 000 Apps unter die Lupe genommen. Dabei entdeckten sie gravierende Mängel beim Datenschutz. 

Apps auf einem Smartphone: Die Fraunhofer-Forscher haben 750 000 Apps unter die Lupe genommen. Dabei entdeckten sie gravierende Mängel beim Datenschutz. 

Foto: Soeren Stache/dpa

Lang ist die Liste vertraulicher und persönlicher Daten, die Smartphonenutzer in ihren mobilen Applikationen (Apps) hinterlegen. Und als hätte man es nicht längst geahnt, bestätigt sich nun, dass solche Daten alles andere als sicher geschützt vor fremdem Zugriff und Missbrauch sind. Wissenschaftler der TU Darmstadt und des Fraunhofer SIT haben 56 Millionen ungeschützte Datensätze aus mobilen Anwendungen in Clouddatenbanken wie Facebooks Parse oder dem Amazon Web Service (AWS) entdeckt. Die Sicherheitsmängel gehen vor allem auf schlampige Programmierarbeit der App-Entwickler zurück.

Hacker haben leichtes Spiel

Damit Nutzer der Apps ihre Daten zur Anwendung auf unterschiedlichen Plattformen wie Android, iOS oder Windows synchronisieren können, greifen Entwickler dem Fraunhofer SIT zufolge häufig auf sogenannte Backends-as-a-service (BaaS) zurück. Das heißt, sie programmieren ihre Apps darauf, Daten zur Synchronisation auf Clouddatenbanken zu speichern.

User nutzt Apps auf seinem Smartphone: Untersuchungen zeigen, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sind. 

User nutzt Apps auf seinem Smartphone: Untersuchungen zeigen, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sind. 

Foto: Franziska Kraufmann/dpa

Die Wissenschaftler des Fraunhofer SIT und der TU Darmstadt nahmen sich 750.000 Apps für Android und iOS aus dem Google Play Store und dem Apple App Store vor. In nahezu allen, so berichtet Prof. Eric Bodden vom Fraunhofer SIT, sicherte lediglich ein Schlüssel, der direkt im Binärcode der App eingebettet sei, den Zugang zu den Daten in der Cloud. Diesen Schlüssel zu finden sei für Hacker ein Leichtes. 

Es drohen Identitätsdiebstahl und Manipulation

In vielen Fällen haben Hacker damit Zugriff auf Daten, die die App in der Cloud speichert, und können sie sogar manipulieren. Dabei böten die Cloudbetreiber laut Forschern je nach Sensibilität der zu speichernden Daten verschiedene Authentifizierungsmethoden an, um den Zugang zu den Daten zu sichern. Um private Daten richtig zu schützen, müssten die Entwickler ein Zugangskontrollschema implementieren. Die große Mehrheit der untersuchten Apps verwende jedoch keine solche Zugangskontrolle. Stattdessen bauten die meisten App-Entwickler als schwächste Form der Authentifizierung ein einfaches API-Token ein, eine in den App-Code eingebettete Nummer.

Die Forschungsergebnisse zeigten, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sei, erklärt Bodden. Wie es hieß, hätten die Wissenschaftler aufgrund ihrer Entdeckung umgehend die Cloudanbieter sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Und mit der Hilfe von Amazon und Facebook seien auch die Entwickler der betroffenen Apps informiert worden, da sie diejenigen seien, die aktiv werden müssten, sagt Bodden. Die Endanwender der Apps können dagegen kaum etwas unternehmen – außer auf das Abspeichern persönlicher Daten zu verzichten. 

Top Stellenangebote

Infineon Technologies AG-Firmenlogo
Infineon Technologies AG Berechnungsingenieur FEM - Strukturmechanik und Thermik (w/m) Warstein
Landeshauptstadt München Ingenieur/in der Fachrichtung Versorgungstechnik / Gebäudetechnik München
Fresenius Medical Care Deutschland GmbH-Firmenlogo
Fresenius Medical Care Deutschland GmbH Director Supplier Quality Management EMEA (m/w) Bad Homburg
Bayernhafen GmbH & Co. KG-Firmenlogo
Bayernhafen GmbH & Co. KG Bauingenieur (m/w) Schwerpunkt Bahnbau / Tiefbau Regensburg
Fresenius Medical Care Deutschland GmbH-Firmenlogo
Fresenius Medical Care Deutschland GmbH Projektingenieur Maschinenbau (m/w) St. Wendel
Fresenius Medical Care Deutschland GmbH-Firmenlogo
Fresenius Medical Care Deutschland GmbH Projektingenieur Verfahrenstechnik (m/w) St. Wendel
Fresenius Medical Care Deutschland GmbH-Firmenlogo
Fresenius Medical Care Deutschland GmbH Projektingenieur Elektrotechnik (m/w) St. Wendel
Heraeus-Firmenlogo
Heraeus Global Engineering Coordinator (m/w) Kleinostheim
P&A Diplom-Ingenieur (Bau) / Master für Statik/Konstruktion (m/w) Eisenach, Hörselberg-Hainich, Gerstungen, Gotha, Mühlhausen
VISHAY ELECTRONIC GmbH-Firmenlogo
VISHAY ELECTRONIC GmbH Product Marketing Engineer (m/w) Landshut, Selb