Datenleck in Apps bedroht Millionen Nutzer

Undichte Stelle in vielen Apps: Forscher haben ein Sicherheitsleck entdeckt, durch das 56 Millionen Datensätze von App-Nutzern leicht gestohlen oder manipuliert werden können. Betroffen sind E-Mailadressen, Passwörter, Gesundheitsdaten und andere sensible Informationen. Schuld sind Fehler der App-Entwickler, die unsichere Authentifizierungsmethoden beim Speichern in der Cloud verwenden.

Nutzer von Apps für Smartphone oder Tablet nutzen oft Clouds, ohne es zu wissen. Denn viele Apps speichern Nutzerinformationen in Cloud-Datenbanken, um zum Beispiel die Synchronisation zwischen Android und iOS Apps zu vereinfachen. Um die Sicherheit der Daten zu gewährleisten, bieten Cloud-Betreiber – je nach Sensibilität der Daten – verschiedene Authentifizierungsmethoden an. Doch wie sich nun zeigt, ignorieren viele App-Entwickler offenbar die Sicherheitsempfehlungen der Cloud-Anbieter.

Keine Zugangskontrollen

Für ihren Test haben Forscher der Technischen Universität Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) 750.000 Apps aus dem Google Play Store und dem Apple App Store auf die Sicherheit ihrer Nutzerdaten hin untersucht. Sie prüften dabei mit Hilfe von Expertenwerkzeugen, welche Authentifizierungsverfahren die Apps verwendeten und wie leicht die Nutzerdaten zugänglich waren.

Das Ergebnis: Viele Nutzerkonten sind durch Identitätsdiebstahl und andere Internetverbrechen bedroht. Denn die Apps verwenden nur die schwächste Form der Authentifizierung, die eher dazu gedacht ist, Daten zu identifizieren als zu schützen. Dazu dient ein Token, eine in den App-Code eingebettete Nummer. Eigentlich müssten die Apps zusätzlich ein Zugangskontrollschema implementieren. Die Tests zeigten allerdings, dass die große Mehrheit der Apps keine solche Zugangskontrolle verwendet.

Leichte Manipulation von Daten

Die Folge dieser Nachlässigkeit: Mit aktuellen Werkzeugen können Angreifer die Token einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren. Angreifer können so zum Beispiel E-Mailadressen auf dem Schwarzmarkt verkaufen, Nutzer erpressen, Webseiten verändern oder Schadcode einschleusen, um Malware zu verbreiten oder Botnetze aufzubauen.

„Nutzer sollten sich deshalb gut überlegen, welche Daten sie mit Apps verwalten“, sagt Eric Bodden, der Leiter des Forscherteams. Denn während dieser Untersuchungen stellte sich heraus, dass viele Datenfelder sehr private Informationen wie verifizierte E-Mailadressen, komplette Benutzernamen oder gar Informationen zu psychischen Krankheiten enthielten.

Weit verbreitetes Problem

„Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen“, erklärt Eric Bodden. „Allerdings zeigen unsere Forschungsergebnisse und die Problematik an sich, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist.“

Als die Wissenschaftler das Problem entdeckten, informierten sie umgehend die Cloud-Anbieter sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). „Mit der Hilfe von Amazon und Facebook informierten wir ebenfalls die Entwickler der betroffenen Apps, denn sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen.“, sagt Bodden.

Weitere Informationen zur App-Schwachstelle finden Sie hier.

(Fraunhofer-Institut für Sichere Informationstechnologie (SIT), 28.05.2015 – NPO)