Leichtes Spiel für Hacker 29.05.2015, 08:51 Uhr

App-Entwickler schlampen bei der Sicherheit

Passwörter und Adressen, Photos, Videos und Gesundheitsdaten aus Smartphone-Apps landen millionenfach ungesichert in der Cloud. Das haben Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie SIT entdeckt. Die Schlamperei geht vor allem auf das Konto der App-Entwickler und ermöglicht Hackern leichtes Spiel. 

Apps auf einem Smartphone: Die Fraunhofer-Forscher haben 750 000 Apps unter die Lupe genommen. Dabei entdeckten sie gravierende Mängel beim Datenschutz. 

Apps auf einem Smartphone: Die Fraunhofer-Forscher haben 750 000 Apps unter die Lupe genommen. Dabei entdeckten sie gravierende Mängel beim Datenschutz. 

Foto: Soeren Stache/dpa

Lang ist die Liste vertraulicher und persönlicher Daten, die Smartphonenutzer in ihren mobilen Applikationen (Apps) hinterlegen. Und als hätte man es nicht längst geahnt, bestätigt sich nun, dass solche Daten alles andere als sicher geschützt vor fremdem Zugriff und Missbrauch sind. Wissenschaftler der TU Darmstadt und des Fraunhofer SIT haben 56 Millionen ungeschützte Datensätze aus mobilen Anwendungen in Clouddatenbanken wie Facebooks Parse oder dem Amazon Web Service (AWS) entdeckt. Die Sicherheitsmängel gehen vor allem auf schlampige Programmierarbeit der App-Entwickler zurück.

Hacker haben leichtes Spiel

Damit Nutzer der Apps ihre Daten zur Anwendung auf unterschiedlichen Plattformen wie Android, iOS oder Windows synchronisieren können, greifen Entwickler dem Fraunhofer SIT zufolge häufig auf sogenannte Backends-as-a-service (BaaS) zurück. Das heißt, sie programmieren ihre Apps darauf, Daten zur Synchronisation auf Clouddatenbanken zu speichern.

User nutzt Apps auf seinem Smartphone: Untersuchungen zeigen, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sind. 

User nutzt Apps auf seinem Smartphone: Untersuchungen zeigen, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sind.

Quelle: Franziska Kraufmann/dpa

Die Wissenschaftler des Fraunhofer SIT und der TU Darmstadt nahmen sich 750.000 Apps für Android und iOS aus dem Google Play Store und dem Apple App Store vor. In nahezu allen, so berichtet Prof. Eric Bodden vom Fraunhofer SIT, sicherte lediglich ein Schlüssel, der direkt im Binärcode der App eingebettet sei, den Zugang zu den Daten in der Cloud. Diesen Schlüssel zu finden sei für Hacker ein Leichtes.

Es drohen Identitätsdiebstahl und Manipulation

In vielen Fällen haben Hacker damit Zugriff auf Daten, die die App in der Cloud speichert, und können sie sogar manipulieren. Dabei böten die Cloudbetreiber laut Forschern je nach Sensibilität der zu speichernden Daten verschiedene Authentifizierungsmethoden an, um den Zugang zu den Daten zu sichern. Um private Daten richtig zu schützen, müssten die Entwickler ein Zugangskontrollschema implementieren. Die große Mehrheit der untersuchten Apps verwende jedoch keine solche Zugangskontrolle. Stattdessen bauten die meisten App-Entwickler als schwächste Form der Authentifizierung ein einfaches API-Token ein, eine in den App-Code eingebettete Nummer.

Die Forschungsergebnisse zeigten, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sei, erklärt Bodden. Wie es hieß, hätten die Wissenschaftler aufgrund ihrer Entdeckung umgehend die Cloudanbieter sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Und mit der Hilfe von Amazon und Facebook seien auch die Entwickler der betroffenen Apps informiert worden, da sie diejenigen seien, die aktiv werden müssten, sagt Bodden. Die Endanwender der Apps können dagegen kaum etwas unternehmen – außer auf das Abspeichern persönlicher Daten zu verzichten.

 

Ein Beitrag von:

  • Susanne Neumann

    Susanne Neumann ist Webjournalistin. „Inhalt mit Anspruch“ ist das Motto der freien Journalistin und Online-Redakteurin. Sie steht für gründliche Recherche, eine verständliche Darstellung auch komplizierter Sachverhalte und Freude am Thema. Sie hat  Politik-, Theater-, und Kommunikationswissenschaften studiert.

Stellenangebote im Bereich Technischer Vertrieb & Beratung

Fr. Lürssen Werft GmbH & Co. KG-Firmenlogo
Fr. Lürssen Werft GmbH & Co. KG Ingenieur als technischer Angebotsmanager (m/w/d) Bremen
Porsche Consulting GmbH-Firmenlogo
Porsche Consulting GmbH Manager (m/w/d) Automobilindustrie (OEMs und Zulieferer) Berlin, Stuttgart, Frankfurt am Main, Hamburg, München
Matthews International GmbH-Firmenlogo
Matthews International GmbH Vertriebsingenieur Sondermaschinenbau (w/m/d) Vreden (Münsterland)
Eckelmann AG-Firmenlogo
Eckelmann AG Technischer Kundenbetreuer (w/m/d) Maschinenautomation Wiesbaden
Flottweg SE-Firmenlogo
Flottweg SE Sales Engineer (m/w/d) Vilsbiburg
DEUTSCHE ROCKWOOL GmbH & Co. KG-Firmenlogo
DEUTSCHE ROCKWOOL GmbH & Co. KG Architektenberater (m/w/d) Inside Sales Gladbeck
Windmöller & Hölscher KG-Firmenlogo
Windmöller & Hölscher KG Consultant Geschäftsprozesse / Prozessmanagement (m/w/d) Lengerich
Windmöller & Hölscher KG-Firmenlogo
Windmöller & Hölscher KG Technical Sales Manager Kunststofftechnik (m/w/d) Lengerich
JH Logistiksysteme-Firmenlogo
JH Logistiksysteme Projektleiter AGV (m/w/d) Technical Sales deutschlandweit
Vaillant Group-Firmenlogo
Vaillant Group Teamleiter Systemberatung (m/w/d) Remscheid

Alle Technischer Vertrieb & Beratung Jobs

Top 5 Verbrauche…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.