Leichtes Spiel für Hacker 29.05.2015, 08:51 Uhr

App-Entwickler schlampen bei der Sicherheit

Passwörter und Adressen, Photos, Videos und Gesundheitsdaten aus Smartphone-Apps landen millionenfach ungesichert in der Cloud. Das haben Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie SIT entdeckt. Die Schlamperei geht vor allem auf das Konto der App-Entwickler und ermöglicht Hackern leichtes Spiel. 

Apps auf einem Smartphone: Die Fraunhofer-Forscher haben 750 000 Apps unter die Lupe genommen. Dabei entdeckten sie gravierende Mängel beim Datenschutz. 

Apps auf einem Smartphone: Die Fraunhofer-Forscher haben 750 000 Apps unter die Lupe genommen. Dabei entdeckten sie gravierende Mängel beim Datenschutz. 

Foto: Soeren Stache/dpa

Lang ist die Liste vertraulicher und persönlicher Daten, die Smartphonenutzer in ihren mobilen Applikationen (Apps) hinterlegen. Und als hätte man es nicht längst geahnt, bestätigt sich nun, dass solche Daten alles andere als sicher geschützt vor fremdem Zugriff und Missbrauch sind. Wissenschaftler der TU Darmstadt und des Fraunhofer SIT haben 56 Millionen ungeschützte Datensätze aus mobilen Anwendungen in Clouddatenbanken wie Facebooks Parse oder dem Amazon Web Service (AWS) entdeckt. Die Sicherheitsmängel gehen vor allem auf schlampige Programmierarbeit der App-Entwickler zurück.

Hacker haben leichtes Spiel

Damit Nutzer der Apps ihre Daten zur Anwendung auf unterschiedlichen Plattformen wie Android, iOS oder Windows synchronisieren können, greifen Entwickler dem Fraunhofer SIT zufolge häufig auf sogenannte Backends-as-a-service (BaaS) zurück. Das heißt, sie programmieren ihre Apps darauf, Daten zur Synchronisation auf Clouddatenbanken zu speichern.

User nutzt Apps auf seinem Smartphone: Untersuchungen zeigen, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sind. 

User nutzt Apps auf seinem Smartphone: Untersuchungen zeigen, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sind.

Quelle: Franziska Kraufmann/dpa

Die Wissenschaftler des Fraunhofer SIT und der TU Darmstadt nahmen sich 750.000 Apps für Android und iOS aus dem Google Play Store und dem Apple App Store vor. In nahezu allen, so berichtet Prof. Eric Bodden vom Fraunhofer SIT, sicherte lediglich ein Schlüssel, der direkt im Binärcode der App eingebettet sei, den Zugang zu den Daten in der Cloud. Diesen Schlüssel zu finden sei für Hacker ein Leichtes.

Es drohen Identitätsdiebstahl und Manipulation

In vielen Fällen haben Hacker damit Zugriff auf Daten, die die App in der Cloud speichert, und können sie sogar manipulieren. Dabei böten die Cloudbetreiber laut Forschern je nach Sensibilität der zu speichernden Daten verschiedene Authentifizierungsmethoden an, um den Zugang zu den Daten zu sichern. Um private Daten richtig zu schützen, müssten die Entwickler ein Zugangskontrollschema implementieren. Die große Mehrheit der untersuchten Apps verwende jedoch keine solche Zugangskontrolle. Stattdessen bauten die meisten App-Entwickler als schwächste Form der Authentifizierung ein einfaches API-Token ein, eine in den App-Code eingebettete Nummer.

Die Forschungsergebnisse zeigten, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sei, erklärt Bodden. Wie es hieß, hätten die Wissenschaftler aufgrund ihrer Entdeckung umgehend die Cloudanbieter sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Und mit der Hilfe von Amazon und Facebook seien auch die Entwickler der betroffenen Apps informiert worden, da sie diejenigen seien, die aktiv werden müssten, sagt Bodden. Die Endanwender der Apps können dagegen kaum etwas unternehmen – außer auf das Abspeichern persönlicher Daten zu verzichten.

 

  • Susanne Neumann

Stellenangebote im Bereich Technischer Vertrieb & Beratung

MAXIMATOR GmbH-Firmenlogo
MAXIMATOR GmbH Sales Engineer / Vertriebsingenieur / Mitarbeiter im technischen Vertrieb (m/w/d) Lübeck
Vaillant Deutschland GmbH & Co. KG-Firmenlogo
Vaillant Deutschland GmbH & Co. KG Technischer Vertriebsingenieur (m/w/d) Innendienst Stuttgart
eta Energieberatung GmbH-Firmenlogo
eta Energieberatung GmbH Wirtschaftsingenieur für Projekte im Bereich Energiewirtschaft (w/m/d) Pfaffenhofen an der Ilm
Vaillant Deutschland GmbH & Co. KG-Firmenlogo
Vaillant Deutschland GmbH & Co. KG Technischer Vertriebsingenieur (m/w/d) Innendienst Hannover
Vaillant Deutschland GmbH & Co. KG-Firmenlogo
Vaillant Deutschland GmbH & Co. KG Technischer Vertriebsingenieur (m/w/d) Innendienst Mannheim
HALFEN Vertriebsgesellschaft mbH-Firmenlogo
HALFEN Vertriebsgesellschaft mbH Bautechniker (m/w/d) oder Bauzeichner (m/w/d) Langenfeld (Rheinland)
HALFEN Vertriebsgesellschaft mbH-Firmenlogo
HALFEN Vertriebsgesellschaft mbH Bauingenieur (m/w/d) Schwerpunkt Massivbau Langenfeld (Rheinland)
Framatome GmbH-Firmenlogo
Framatome GmbH Product Sales Developer (m/w/d) Electrical Systems Erlangen
BERGER BAU SE-Firmenlogo
BERGER BAU SE Kalkulator (m/w/d) Passau
h.a.l.m. elektronik GmbH-Firmenlogo
h.a.l.m. elektronik GmbH Application Engineer (m/w/d) Solarzellen EL-Qualitätskontrolle mittels Machine-Learning Frankfurt am Main

Alle Technischer Vertrieb & Beratung Jobs

Top 5 Verbrauche…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.