Zahlreiche Android-Apps bergen recht pikante Details
Nachlässige Programmierer gefährden nicht unbedingt nur ihre Nutzer, sondern zuweilen auch ihre eigenen Projekte. Das zeigt eine aktuelle Analyse tausender Android-Apps. Aus den heruntergeladenen APKs lassen sich teilweise sehr sensible Informationen herausholen.
Das US-Unternehmen Fallible hat insgesamt rund 16.000 Anwendungen für das Google-System durch ein automatisiertes Reverse Engineering geschickt. Dabei konnten sie unter anderem 304 Keys aus der Software herausholen, die einem Angreifer Türen zu sensiblen Bereichen der App-Infrastruktur öffnen. Die Firma benannte die Apps zwar nicht konkret, bei der Auswahl habe man sich aber an den Charts des Play Stores entlanggehangelt, hieß es.
Von den untersuchten Anwendungen enthielten rund 2.500 mehr oder weniger sensible Informationen. Viele herausgelöste Keys stellen kein größeres Problem dar und dienen unter anderem der Kommunikation mit den Android-eigenen APIs. Es gab aber auch Fälle, in denen die Programmierer die Keys für den Zugang zu Amazons AWS-Diensten fest in den Code eingebaut hatten. Wenn man diesen in die Hand bekommt und in eigene Skripte integriert, konnte man mit vollen Rechten auf die Infrastruktur hinter den Anwendungen zugreifen - bis hin zum Neuanlegen und Löschen von Cloud-Instanzen.
Die Fallible-Mitarbeiter sehen daher eine Notwendigkeit, dass das Problem auf verschiedenen Ebenen angegangen wird. In erster Linie sei es natürlich Aufgabe der Programmierer, darauf zu achten, dass sie nicht aus Bequemlichkeit API-Keys oder Tokens fest in ihren Code integrieren. Aber auch die Anbieter von Cloud-Diensten müssten ihren Teil dazu beitragen, die Entwickler besser aufzuklären.
Von den untersuchten Anwendungen enthielten rund 2.500 mehr oder weniger sensible Informationen. Viele herausgelöste Keys stellen kein größeres Problem dar und dienen unter anderem der Kommunikation mit den Android-eigenen APIs. Es gab aber auch Fälle, in denen die Programmierer die Keys für den Zugang zu Amazons AWS-Diensten fest in den Code eingebaut hatten. Wenn man diesen in die Hand bekommt und in eigene Skripte integriert, konnte man mit vollen Rechten auf die Infrastruktur hinter den Anwendungen zugreifen - bis hin zum Neuanlegen und Löschen von Cloud-Instanzen.
Vandalismus leicht gemacht
Damit ist es letztlich nicht nur möglich, bestimmte Nutzerdaten auszuspähen. Ein nicht wohlgesonnener Angreifer könnte dem ganzen Software-Projekt erheblichen Schaden zufügen. Denn wenn beispielsweise der komplette Teil einer Anwendung, der in der Cloud läuft, gelöscht wird, kann die App erst einmal lahmgelegt sein. Alle Nutzer würden dann unbrauchbare Software auf ihrem Gerät haben und sich zum Teil wohl schnell einem Konkurrenten zuwenden.Die Fallible-Mitarbeiter sehen daher eine Notwendigkeit, dass das Problem auf verschiedenen Ebenen angegangen wird. In erster Linie sei es natürlich Aufgabe der Programmierer, darauf zu achten, dass sie nicht aus Bequemlichkeit API-Keys oder Tokens fest in ihren Code integrieren. Aber auch die Anbieter von Cloud-Diensten müssten ihren Teil dazu beitragen, die Entwickler besser aufzuklären.
Thema:
Das Google Pixel 8 im Preisvergleich
Hy-commerce NEU 
Expert.de 
TechnikDirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
-
Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
-
Magcubic HY310: Billiger Beamer versagt im Test bei Bild und Ton
-
Mobiler Beamer oder XR-Brille? - Test zeigt deutlichen Sieger
-
Magcubic HY300F: Ballförmiger Beamer ist für den WM-Spaß ungeeignet
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen