Zahlreiche Android-Apps bergen recht pikante Details

Nachlässige Programmierer gefährden nicht unbedingt nur ihre Nutzer, sondern zuweilen auch ihre eigenen Projekte. Das zeigt eine aktuelle Analyse tausender Android-Apps. Aus den heruntergeladenen APKs lassen sich teilweise sehr sensible Informationen herausholen.
Google, Android, App, App Store, Google Play, Applikationen
Google
Das US-Unternehmen Fallible hat insgesamt rund 16.000 Anwendungen für das Google-System durch ein automatisiertes Reverse Engineering geschickt. Dabei konnten sie unter anderem 304 Keys aus der Software herausholen, die einem Angreifer Türen zu sensiblen Bereichen der App-Infrastruktur öffnen. Die Firma benannte die Apps zwar nicht konkret, bei der Auswahl habe man sich aber an den Charts des Play Stores entlanggehangelt, hieß es.

Von den untersuchten Anwendungen enthielten rund 2.500 mehr oder weniger sensible Informationen. Viele herausgelöste Keys stellen kein größeres Problem dar und dienen unter anderem der Kommunikation mit den Android-eigenen APIs. Es gab aber auch Fälle, in denen die Programmierer die Keys für den Zugang zu Amazons AWS-Diensten fest in den Code eingebaut hatten. Wenn man diesen in die Hand bekommt und in eigene Skripte integriert, konnte man mit vollen Rechten auf die Infrastruktur hinter den Anwendungen zugreifen - bis hin zum Neuanlegen und Löschen von Cloud-Instanzen.


Vandalismus leicht gemacht

Damit ist es letztlich nicht nur möglich, bestimmte Nutzerdaten auszuspähen. Ein nicht wohlgesonnener Angreifer könnte dem ganzen Software-Projekt erheblichen Schaden zufügen. Denn wenn beispielsweise der komplette Teil einer Anwendung, der in der Cloud läuft, gelöscht wird, kann die App erst einmal lahmgelegt sein. Alle Nutzer würden dann unbrauchbare Software auf ihrem Gerät haben und sich zum Teil wohl schnell einem Konkurrenten zuwenden.

Die Fallible-Mitarbeiter sehen daher eine Notwendigkeit, dass das Problem auf verschiedenen Ebenen angegangen wird. In erster Linie sei es natürlich Aufgabe der Programmierer, darauf zu achten, dass sie nicht aus Bequemlichkeit API-Keys oder Tokens fest in ihren Code integrieren. Aber auch die Anbieter von Cloud-Diensten müssten ihren Teil dazu beitragen, die Entwickler besser aufzuklären.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr neon schildneon schild
Original Amazon-Preis
32,99
Im Preisvergleich ab
32,99
Blitzangebot-Preis
22,43
Ersparnis zu Amazon 32% oder 10,56
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!