Leichtes Spiel für Hacker 29.05.2015, 08:51 Uhr

App-Entwickler schlampen bei der Sicherheit

Passwörter und Adressen, Photos, Videos und Gesundheitsdaten aus Smartphone-Apps landen millionenfach ungesichert in der Cloud. Das haben Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie SIT entdeckt. Die Schlamperei geht vor allem auf das Konto der App-Entwickler und ermöglicht Hackern leichtes Spiel. 

Apps auf einem Smartphone: Die Fraunhofer-Forscher haben 750 000 Apps unter die Lupe genommen. Dabei entdeckten sie gravierende Mängel beim Datenschutz. 

Apps auf einem Smartphone: Die Fraunhofer-Forscher haben 750 000 Apps unter die Lupe genommen. Dabei entdeckten sie gravierende Mängel beim Datenschutz. 

Foto: Soeren Stache/dpa

Lang ist die Liste vertraulicher und persönlicher Daten, die Smartphonenutzer in ihren mobilen Applikationen (Apps) hinterlegen. Und als hätte man es nicht längst geahnt, bestätigt sich nun, dass solche Daten alles andere als sicher geschützt vor fremdem Zugriff und Missbrauch sind. Wissenschaftler der TU Darmstadt und des Fraunhofer SIT haben 56 Millionen ungeschützte Datensätze aus mobilen Anwendungen in Clouddatenbanken wie Facebooks Parse oder dem Amazon Web Service (AWS) entdeckt. Die Sicherheitsmängel gehen vor allem auf schlampige Programmierarbeit der App-Entwickler zurück.

Hacker haben leichtes Spiel

Damit Nutzer der Apps ihre Daten zur Anwendung auf unterschiedlichen Plattformen wie Android, iOS oder Windows synchronisieren können, greifen Entwickler dem Fraunhofer SIT zufolge häufig auf sogenannte Backends-as-a-service (BaaS) zurück. Das heißt, sie programmieren ihre Apps darauf, Daten zur Synchronisation auf Clouddatenbanken zu speichern.

User nutzt Apps auf seinem Smartphone: Untersuchungen zeigen, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sind. 

User nutzt Apps auf seinem Smartphone: Untersuchungen zeigen, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sind. 

Quelle: Franziska Kraufmann/dpa

Die Wissenschaftler des Fraunhofer SIT und der TU Darmstadt nahmen sich 750.000 Apps für Android und iOS aus dem Google Play Store und dem Apple App Store vor. In nahezu allen, so berichtet Prof. Eric Bodden vom Fraunhofer SIT, sicherte lediglich ein Schlüssel, der direkt im Binärcode der App eingebettet sei, den Zugang zu den Daten in der Cloud. Diesen Schlüssel zu finden sei für Hacker ein Leichtes. 

Es drohen Identitätsdiebstahl und Manipulation

In vielen Fällen haben Hacker damit Zugriff auf Daten, die die App in der Cloud speichert, und können sie sogar manipulieren. Dabei böten die Cloudbetreiber laut Forschern je nach Sensibilität der zu speichernden Daten verschiedene Authentifizierungsmethoden an, um den Zugang zu den Daten zu sichern. Um private Daten richtig zu schützen, müssten die Entwickler ein Zugangskontrollschema implementieren. Die große Mehrheit der untersuchten Apps verwende jedoch keine solche Zugangskontrolle. Stattdessen bauten die meisten App-Entwickler als schwächste Form der Authentifizierung ein einfaches API-Token ein, eine in den App-Code eingebettete Nummer.

Die Forschungsergebnisse zeigten, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sei, erklärt Bodden. Wie es hieß, hätten die Wissenschaftler aufgrund ihrer Entdeckung umgehend die Cloudanbieter sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Und mit der Hilfe von Amazon und Facebook seien auch die Entwickler der betroffenen Apps informiert worden, da sie diejenigen seien, die aktiv werden müssten, sagt Bodden. Die Endanwender der Apps können dagegen kaum etwas unternehmen – außer auf das Abspeichern persönlicher Daten zu verzichten. 

Stellenangebote im Bereich Technischer Vertrieb & Beratung

GEMÜ Gebr. Müller Apparatebau GmbH & Co. KG-Firmenlogo
GEMÜ Gebr. Müller Apparatebau GmbH & Co. KG Technischer Trainer (m/w/d) Bereich Prozessventile Ingelfingen
HKR GmbH & Co. KG über CARO Personalservice Bayern GmbH-Firmenlogo
HKR GmbH & Co. KG über CARO Personalservice Bayern GmbH Leiter Vertrieb und Industrial Engineering (m/w/d) Direktvermittlung Roding
FICHTNER GmbH & Co. KG-Firmenlogo
FICHTNER GmbH & Co. KG Projektleiter / Senior Consultant für Windkraft On-/Offshore (m/w/d) Stuttgart
NGK EUROPE GmbH-Firmenlogo
NGK EUROPE GmbH (Junior) Account-Manager (m/w/d) Fahrzeugindustrie Kronberg im Taunus
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen-Firmenlogo
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen Technical Sales Manager für Bremssteuerung und Automated Driving (m/w/d) Schwieberdingen bei Stuttgart
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH-Firmenlogo
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Technical Sales Koordinator ADAS/HAD und Projektleiter (m/w/d) Schwieberdingen bei Stuttgart
SEW-EURODRIVE GmbH & Co KG-Firmenlogo
SEW-EURODRIVE GmbH & Co KG International Account & Project Manager (w/m/d) Bruchsal
SEW-EURODRIVE GmbH & Co KG-Firmenlogo
SEW-EURODRIVE GmbH & Co KG Sales, Operations & Strategy Support (w/m/d) Bruchsal
AVS Aggregatebau GmbH-Firmenlogo
AVS Aggregatebau GmbH Elektrokonstrukteur (m/w) Ehingen-Stetten
GOLDBECK Ost GmbH-Firmenlogo
GOLDBECK Ost GmbH Projektingenieur (w/m/d) Kalkulation – Bauingenieurwesen / Architektur Nürnberg

Alle Technischer Vertrieb & Beratung Jobs

Top 5 Verbrauchersc…