Sicherheitsrisiko dumme Android-Entwickler: App-Passwörter auslesbar

Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0)
Einige Android-Apps sind wahre Goldminen für Betrüger, Passwörter und Krypto-Schlüssel werden durch Entwickler einfach frei zugänglich gelassen: Das berichtet das Online-Magazin The Register und bezieht sich dabei auf Informationen, die bei der BSides Konferenz in San Fransisco veröffentlicht wurden.
Sicherheitsforscher Will Dormann hatte bei seinen Recherchen zehntausende Apps im Google Play Store gefunden, bei denen man ohne Probleme sensible Daten wie zum Beispiel Passwörter auslesen konnte. Dormann hatte bei seiner Untersuchung nur kostenlose Apps analysiert, fast 1,8 Millionen an der Zahl. Bei rund einem Prozent, etwa 20.000 Apps, waren durch die Entwickler achtlos Passwörter, Krypto-Schlüssel, VPN-Zugangscodes und ähnliches ungesichert hinterlegt worden. Infografik: Die Evolution von AndroidDie Evolution von Android

Risikofaktor Entwickler

In seinen weiteren Recherchen fand er dann auch den eigentlichen Schuldigen in vielen Fällen. So werden häufig Entwickler-Tools verwendet, die ohne Fachwissen zur App-Erstellung verwendet werden können, die aber selbst große Sicherheitsrisiken beherbergen. Dormann warnt in diesem Zusammenhang beispielsweise vor Appinventor, mit dem man Apps erstellen kann, es aber besser tunlichst lassen sollte. Der Service veröffentlicht in den Apps gleich wichtige Krypto-Schlüssel mit. Das fehlende Fachwissen allgemein ist aber das größte Problem.

Erkennung schwierig

Nachlässigkeit und Unwissenheit führten dabei zumeist zu den Sicherheitsproblemen. Dormann fand in einem Fall sogar das Master-Passwort einer App gleich mit in der App ausgeliefert - dümmer geht es nun wirklich nicht. In anderen Fällen nutzte er einfach zwei populäre Passwort-Cracker, Jack the Ripper und Hashcat, um an weitere Informationen zu kommen. Betrügern fällt es demnach gar nicht schwer über Android-Apps an sensible Daten zu kommen.

Für den Endnutzer selbst ist es recht schwierig, das Sicherheitsbemühen der Entwickler einzuschätzen. Man begibt sich daher womöglich unabsichtlich in ein unnötiges Risiko.

Untersucht wurden nur kostenlose Apps, da Dormann keinen Zugriff auf kostenpflichtige hat.

Siehe auch:
Download AirDroid - Android-Geräte vom PC aus verwalten Verschlüsselung, Kryptographie, Code Verschlüsselung, Kryptographie, Code Christian Ditaputratama (CC BY-SA 2.0)
Mehr zum Thema: Android
Diese Nachricht empfehlen
Kommentieren6
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden