So enttarnt man Smartphone-Apps mit unsicheren Logins

Obwohl dem Thema Account-Sicherheit seit einiger Zeit vielfach Aufmerksamkeit geschenkt wird, bieten auch viele populäre Dienste noch immer nicht einmal die einfachsten Security-Features an. Zumindest der Login-Prozess sollte beispielsweise über eine verschlüsselte Verbindung laufen - was aber keineswegs immer der Fall ist.

Im normalen Browser auf dem PC ist dieses Problem für die meisten Nutzer recht einfach nachvollziehbar. Immerhin kennt fast jeder das Verschlüsselungs-Icon, mit dem angezeigt wird, dass aktuell über eine SSH-Verbindung auf einen Online-Service zugegriffen wird. Im Zweifelsfall kann man hier also recht einfach sehen, wann man besser keine sensiblen Daten wie Passwörter in ein Formularfeld eintippen und über das Internet schicken sollte.

Schwieriger ist das dann schon bei Smartphone-Apps. Denn diese geben in der Regel keine Hinweise darauf, welche Prozesse gerade im Hintergrund ablaufen. Mit etwas Aufwand kann aber trotzdem überprüft werden, ob eine Anwendung die Zugangsdaten aus irgendeinem Grund - meist dürfte es schlicht Bequemlichkeit auf Seiten der Entwickler sein - unverschlüsselt verschickt. Wie dies funktioniert zeigen euch die Kollegen von Semper Video im vorliegenden Screencast.

Dies geschieht hier am Beispiel eines Android-Smartphones, mit dem der Anwender einen populären Dienst nutzen will, der von vielen Millionen Nutzern verwendet wird. Wie sich zeigt, ist auch die große Nutzerzahl kein Garant dafür, dass man zumindest mit den grundlegenden Sicherheits-Features rechnen kann.

Relativ einfach kann hier der Netzwerkverkehr des Smartphones überprüft werden, indem man den eigenen PC als Proxy-Server zwischenschaltet. Alles, was sich so einfach im Klartext auslesen lässt, kann auch in die Hände von Unbefugten fallen, wenn diese einen entsprechenden Zugriff auf das jeweilige Netz haben. Daher ist es durchaus sinnvoll, gelegentlich zu überprüfen, welchen Diensten man seine Passwörter anvertraut - insbesondere auch deshalb, da viele User nicht für jeden Service eine eigene Kennung verwenden.
Jetzt einen Kommentar schreiben