Leichtes Spiel für Hacker 29.05.2015, 08:51 Uhr

App-Entwickler schlampen bei der Sicherheit

Passwörter und Adressen, Photos, Videos und Gesundheitsdaten aus Smartphone-Apps landen millionenfach ungesichert in der Cloud. Das haben Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie SIT entdeckt. Die Schlamperei geht vor allem auf das Konto der App-Entwickler und ermöglicht Hackern leichtes Spiel. 

Apps auf einem Smartphone: Die Fraunhofer-Forscher haben 750 000 Apps unter die Lupe genommen. Dabei entdeckten sie gravierende Mängel beim Datenschutz. 

Apps auf einem Smartphone: Die Fraunhofer-Forscher haben 750 000 Apps unter die Lupe genommen. Dabei entdeckten sie gravierende Mängel beim Datenschutz. 

Foto: Soeren Stache/dpa

Lang ist die Liste vertraulicher und persönlicher Daten, die Smartphonenutzer in ihren mobilen Applikationen (Apps) hinterlegen. Und als hätte man es nicht längst geahnt, bestätigt sich nun, dass solche Daten alles andere als sicher geschützt vor fremdem Zugriff und Missbrauch sind. Wissenschaftler der TU Darmstadt und des Fraunhofer SIT haben 56 Millionen ungeschützte Datensätze aus mobilen Anwendungen in Clouddatenbanken wie Facebooks Parse oder dem Amazon Web Service (AWS) entdeckt. Die Sicherheitsmängel gehen vor allem auf schlampige Programmierarbeit der App-Entwickler zurück.

Hacker haben leichtes Spiel

Damit Nutzer der Apps ihre Daten zur Anwendung auf unterschiedlichen Plattformen wie Android, iOS oder Windows synchronisieren können, greifen Entwickler dem Fraunhofer SIT zufolge häufig auf sogenannte Backends-as-a-service (BaaS) zurück. Das heißt, sie programmieren ihre Apps darauf, Daten zur Synchronisation auf Clouddatenbanken zu speichern.

User nutzt Apps auf seinem Smartphone: Untersuchungen zeigen, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sind. 

User nutzt Apps auf seinem Smartphone: Untersuchungen zeigen, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sind. 

Foto: Franziska Kraufmann/dpa

Die Wissenschaftler des Fraunhofer SIT und der TU Darmstadt nahmen sich 750.000 Apps für Android und iOS aus dem Google Play Store und dem Apple App Store vor. In nahezu allen, so berichtet Prof. Eric Bodden vom Fraunhofer SIT, sicherte lediglich ein Schlüssel, der direkt im Binärcode der App eingebettet sei, den Zugang zu den Daten in der Cloud. Diesen Schlüssel zu finden sei für Hacker ein Leichtes. 

Es drohen Identitätsdiebstahl und Manipulation

In vielen Fällen haben Hacker damit Zugriff auf Daten, die die App in der Cloud speichert, und können sie sogar manipulieren. Dabei böten die Cloudbetreiber laut Forschern je nach Sensibilität der zu speichernden Daten verschiedene Authentifizierungsmethoden an, um den Zugang zu den Daten zu sichern. Um private Daten richtig zu schützen, müssten die Entwickler ein Zugangskontrollschema implementieren. Die große Mehrheit der untersuchten Apps verwende jedoch keine solche Zugangskontrolle. Stattdessen bauten die meisten App-Entwickler als schwächste Form der Authentifizierung ein einfaches API-Token ein, eine in den App-Code eingebettete Nummer.

Die Forschungsergebnisse zeigten, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht sei, erklärt Bodden. Wie es hieß, hätten die Wissenschaftler aufgrund ihrer Entdeckung umgehend die Cloudanbieter sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Und mit der Hilfe von Amazon und Facebook seien auch die Entwickler der betroffenen Apps informiert worden, da sie diejenigen seien, die aktiv werden müssten, sagt Bodden. Die Endanwender der Apps können dagegen kaum etwas unternehmen – außer auf das Abspeichern persönlicher Daten zu verzichten. 

Das könnte sie auch interessieren

Top Stellenangebote

Landkreis Leer-Firmenlogo
Landkreis Leer Ingenieur/in (Diplom/Bachelor) der Fachrichtung Bauingenieurwesen Leer
Landkreis Leer-Firmenlogo
Landkreis Leer Ingenieur/in (Diplom/Bachelor) der Fachrichtung Hochbau/Architektur Leer
Landkreis Leer-Firmenlogo
Landkreis Leer Ingenieur/in (Diplom/Bachelor) der Fachrichtung Architektur Leer
Landeshauptstadt Hannover-Firmenlogo
Landeshauptstadt Hannover Sachgebietsleiter (w/m) Sachgebiet Energiemanagement im Bereich Infrastrukturelles Gebäudemanagement Hannover
Hochschule Kaiserslautern-Firmenlogo
Hochschule Kaiserslautern Professur im Bereich Leistungselektronik und Elektronik (W2) Kaiserslautern
Hochschule Ostwestfalen-Lippe-Firmenlogo
Hochschule Ostwestfalen-Lippe W2-Professur Elektromechanik und Mechatronik Lemgo
Technische Universität Dresden-Firmenlogo
Technische Universität Dresden Professur (W3) für Luftfahrzeugtechnik Dresden
Fachhochschule Dortmund-Firmenlogo
Fachhochschule Dortmund Professorin / Professor für das Fach Medizintechnik Dortmund
Generalzolldirektion-Firmenlogo
Generalzolldirektion Diplomingenieur/in / Technische/r Beamtin/-er für das Funk- und Telekommunikationswesen Nürnberg
GULP Solution Services GmbH & Co. KG-Firmenlogo
GULP Solution Services GmbH & Co. KG Entwicklungsingenieur / Konstrukteur Röntgenstrahler (m/w) Hamburg
Zur Jobbörse