Zahlreiche Android-Apps bergen recht pikante Details
Fallible hat insgesamt rund 16.000 Anwendungen für das Google-System durch ein automatisiertes Reverse Engineering geschickt. Dabei konnten sie unter anderem 304 Keys aus der Software herausholen, die einem Angreifer Türen zu sensiblen Bereichen der App-Infrastruktur öffnen. Die Firma benannte die Apps zwar nicht konkret, bei der Auswahl habe man sich aber an den Charts des Play Stores entlanggehangelt, hieß es.
Von den untersuchten Anwendungen enthielten rund 2.500 mehr oder weniger sensible Informationen. Viele herausgelöste Keys stellen kein größeres Problem dar und dienen unter anderem der Kommunikation mit den Android-eigenen APIs. Es gab aber auch Fälle, in denen die Programmierer die Keys für den Zugang zu Amazons AWS-Diensten fest in den Code eingebaut hatten. Wenn man diesen in die Hand bekommt und in eigene Skripte integriert, konnte man mit vollen Rechten auf die Infrastruktur hinter den Anwendungen zugreifen - bis hin zum Neuanlegen und Löschen von Cloud-Instanzen.
Die Fallible-Mitarbeiter sehen daher eine Notwendigkeit, dass das Problem auf verschiedenen Ebenen angegangen wird. In erster Linie sei es natürlich Aufgabe der Programmierer, darauf zu achten, dass sie nicht aus Bequemlichkeit API-Keys oder Tokens fest in ihren Code integrieren. Aber auch die Anbieter von Cloud-Diensten müssten ihren Teil dazu beitragen, die Entwickler besser aufzuklären.
Das US-Unternehmen Von den untersuchten Anwendungen enthielten rund 2.500 mehr oder weniger sensible Informationen. Viele herausgelöste Keys stellen kein größeres Problem dar und dienen unter anderem der Kommunikation mit den Android-eigenen APIs. Es gab aber auch Fälle, in denen die Programmierer die Keys für den Zugang zu Amazons AWS-Diensten fest in den Code eingebaut hatten. Wenn man diesen in die Hand bekommt und in eigene Skripte integriert, konnte man mit vollen Rechten auf die Infrastruktur hinter den Anwendungen zugreifen - bis hin zum Neuanlegen und Löschen von Cloud-Instanzen.
Vandalismus leicht gemacht
Damit ist es letztlich nicht nur möglich, bestimmte Nutzerdaten auszuspähen. Ein nicht wohlgesonnener Angreifer könnte dem ganzen Software-Projekt erheblichen Schaden zufügen. Denn wenn beispielsweise der komplette Teil einer Anwendung, der in der Cloud läuft, gelöscht wird, kann die App erst einmal lahmgelegt sein. Alle Nutzer würden dann unbrauchbare Software auf ihrem Gerät haben und sich zum Teil wohl schnell einem Konkurrenten zuwenden.Die Fallible-Mitarbeiter sehen daher eine Notwendigkeit, dass das Problem auf verschiedenen Ebenen angegangen wird. In erster Linie sei es natürlich Aufgabe der Programmierer, darauf zu achten, dass sie nicht aus Bequemlichkeit API-Keys oder Tokens fest in ihren Code integrieren. Aber auch die Anbieter von Cloud-Diensten müssten ihren Teil dazu beitragen, die Entwickler besser aufzuklären.
Thema:
Das Google Pixel 8 im Preisvergleich
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Neue Android-Bilder
Android-Videos
- Honor Pad 9 ausgepackt: Erste Eindrücke zum neuen 12-Zoll-Tablet
- JRNY Fitness-App im Test: Work-out-Erfolge auf neuem Level
- Super Bowl 2024: Oreo zeigt eine Welt, in der ein Keks alles verändert
- Lenovo Tab M11: Erste Eindrücke zum Einsteiger-Tablet mit Stift
- Google zeigt beim Super Bowl, wie KI Blinden beim Fotografieren hilft
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr neon schild
Original Amazon-Preis
32,99 €
Im Preisvergleich ab
32,99 €
Blitzangebot-Preis
22,43 €
Ersparnis zu Amazon 32% oder 10,56 €
Neue Nachrichten
- Motorola enthüllt neues Flaggschiff: Edge 50 Pro kommt mit ganz viel KI
- Rückstau in den Lagern: Sony stoppt die PSVR2-Produktion
- Neue Angebote: Media Markt und Saturn rufen zum März-Abverkauf
- Nach Displays auch noch iPadOS: Apple verstolpert den iPad Pro-Start
- BitTorrent erstmals nicht mehr größte Quelle für Upload-Traffic
- Microsoft Surface: Saturn verkauft Laptops und 2-in-1s zum Sparpreis
- Steam-Familie: Neue Funktionen zum Teilen von Spielen vorgestellt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen