Zahlreiche Android-Apps bergen recht pikante Details
Nachlässige Programmierer gefährden nicht unbedingt nur ihre Nutzer, sondern zuweilen auch ihre eigenen Projekte. Das zeigt eine aktuelle Analyse tausender Android-Apps. Aus den heruntergeladenen APKs lassen sich teilweise sehr sensible Informationen herausholen.
Das US-Unternehmen Fallible hat insgesamt rund 16.000 Anwendungen für das Google-System durch ein automatisiertes Reverse Engineering geschickt. Dabei konnten sie unter anderem 304 Keys aus der Software herausholen, die einem Angreifer Türen zu sensiblen Bereichen der App-Infrastruktur öffnen. Die Firma benannte die Apps zwar nicht konkret, bei der Auswahl habe man sich aber an den Charts des Play Stores entlanggehangelt, hieß es.
Von den untersuchten Anwendungen enthielten rund 2.500 mehr oder weniger sensible Informationen. Viele herausgelöste Keys stellen kein größeres Problem dar und dienen unter anderem der Kommunikation mit den Android-eigenen APIs. Es gab aber auch Fälle, in denen die Programmierer die Keys für den Zugang zu Amazons AWS-Diensten fest in den Code eingebaut hatten. Wenn man diesen in die Hand bekommt und in eigene Skripte integriert, konnte man mit vollen Rechten auf die Infrastruktur hinter den Anwendungen zugreifen - bis hin zum Neuanlegen und Löschen von Cloud-Instanzen.
Die Fallible-Mitarbeiter sehen daher eine Notwendigkeit, dass das Problem auf verschiedenen Ebenen angegangen wird. In erster Linie sei es natürlich Aufgabe der Programmierer, darauf zu achten, dass sie nicht aus Bequemlichkeit API-Keys oder Tokens fest in ihren Code integrieren. Aber auch die Anbieter von Cloud-Diensten müssten ihren Teil dazu beitragen, die Entwickler besser aufzuklären.
Von den untersuchten Anwendungen enthielten rund 2.500 mehr oder weniger sensible Informationen. Viele herausgelöste Keys stellen kein größeres Problem dar und dienen unter anderem der Kommunikation mit den Android-eigenen APIs. Es gab aber auch Fälle, in denen die Programmierer die Keys für den Zugang zu Amazons AWS-Diensten fest in den Code eingebaut hatten. Wenn man diesen in die Hand bekommt und in eigene Skripte integriert, konnte man mit vollen Rechten auf die Infrastruktur hinter den Anwendungen zugreifen - bis hin zum Neuanlegen und Löschen von Cloud-Instanzen.
Vandalismus leicht gemacht
Damit ist es letztlich nicht nur möglich, bestimmte Nutzerdaten auszuspähen. Ein nicht wohlgesonnener Angreifer könnte dem ganzen Software-Projekt erheblichen Schaden zufügen. Denn wenn beispielsweise der komplette Teil einer Anwendung, der in der Cloud läuft, gelöscht wird, kann die App erst einmal lahmgelegt sein. Alle Nutzer würden dann unbrauchbare Software auf ihrem Gerät haben und sich zum Teil wohl schnell einem Konkurrenten zuwenden.Die Fallible-Mitarbeiter sehen daher eine Notwendigkeit, dass das Problem auf verschiedenen Ebenen angegangen wird. In erster Linie sei es natürlich Aufgabe der Programmierer, darauf zu achten, dass sie nicht aus Bequemlichkeit API-Keys oder Tokens fest in ihren Code integrieren. Aber auch die Anbieter von Cloud-Diensten müssten ihren Teil dazu beitragen, die Entwickler besser aufzuklären.
Thema:
Das Google Pixel 8 im Preisvergleich
Expert.de 
DieTechnik 
Expert_ecommerce 
TechnikDirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
Mobiler Beamer oder XR-Brille? - Test zeigt deutlichen Sieger
-
Magcubic HY300F: Ballförmiger Beamer ist für den WM-Spaß ungeeignet
-
Pixel 10a: Reicht das Einsteigermodell oder doch besser Premium?
-
POCO X8 Pro im Test: Viel Smartphone für einen recht kleinen Preis
-
Klein, günstig aber mit Schwächen: Magcubic Mini-Beamer im Test
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Nur für 3 Stunden: Riesiger 85" Mini-LED-TV bei Media Markt im Angebot
- Zero Trust: Windows Server startet verschlüsselte Namensauflösung
- Nvidia GPU RTX Pro 6000: Preis steigt um krasse 55 Prozent
- Google Earth: Flugsimulator jetzt kostenlos im Browser nutzbar
- iPhone Fold Ultra im Hands-on-Video: Alle Details im Überblick
- Tesla-Autopilot: Fahrer hebeln Sicherheitssystem mit 8-€-Gadget aus
- Spiele bis zu 95 % schneller laden: Riesiger Boost für AMD-GPUs ist da
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen