Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Datenleck in Apps bedroht Millionen von Nutzern

27.05.2015

Technische Universität Darmstadt und Fraunhofer SIT: Entwickler verwenden Authentifizierungen für Cloud Services falsch und machen so Millionen Datensätze anfällig für Angriffe

Die Technische Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie SIT haben Cloud-Datenbanken wie Facebooks Parse und Amazons AWS untersucht und 56 Millionen ungeschützte Datensätze gefunden.


Sensible App-Daten liegen oft ungeschützt in Cloud-Datenbanken.

Fraunhofer SIT

Die Forscher fanden E-Mailadressen, Passwörter, Gesundheitsdaten und andere sensible Informationen von App-Benutzern, die leicht gestohlen und manipuliert werden können. App-Entwickler verwenden Cloud-Datenbanken, um Nutzerdaten zu speichern, ignorieren dabei aber scheinbar die Sicherheitsempfehlungen der Cloud-Anbieter.

Das Ergebnis: Viele Nutzerkonten sind durch Identitätsdiebstahl und andere Internetverbrechen bedroht. „Nutzer sollten sich deshalb gut überlegen, welche Daten sie mit Apps verwalten“, sagt Prof. Eric Bodden, der Leiter des Forscherteams. Weitere Informationen zur Schwachstelle finden Sie im Internet unter www.sit.fraunhofer.de/appdatathreat .

Viele Smartphone-Apps speichern Nutzerinformationen in Cloud-Datenbanken, um zum Beispiel die Synchronisation zwischen Android und iOS Apps zu vereinfachen. Cloud-Betreiber bieten – je nach Sensibilität der Daten – verschiedene Authentifizierungsmethoden hierfür an. Die schwächste Form der Authentifizierung, eher dazu gedacht, Daten zu identifizieren als zu schützen, verwendet ein einfaches API-Token, eine in den App-Code eingebettete Nummer.

Mit aktuellen Werkzeugen können Angreifer diese Token jedoch einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren. Angreifer können so zum Beispiel E-Mailadressen auf dem Schwarzmarkt verkaufen, Nutzer erpressen, Webseiten verändern oder Schadcode einschleusen, um Malware zu verbreiten oder Botnetze aufzubauen.

Um private Daten richtig zu schützen, müssen Apps ein Zugangskontrollschema implementieren. Die Tests zeigten allerdings, dass die große Mehrheit der Apps keine solche Zugangskontrolle verwendet. Die Wissenschaftler untersuchten 750.000 Apps aus dem Google Play Store und dem Apple App Store. Dazu verwendeten sie intern entwickelte Analyse-Frameworks wie etwa den Fraunhofer Appicaptor.

Mit Hilfe dieser Expertenwerkzeuge konnten die Forscher Apps identifizieren, die eine schwache Authentifizierung nutzen und führten eine Tiefenanalyse ausgewählter Apps durch. Während dieser Untersuchungen stellte sich heraus, dass viele Datenfelder private Informationen wie verifizierte E-Mailadressen, komplette Benutzernamen oder gar Informationen zu psychischen Krankheiten enthielten.

„Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen“, erklärt Prof. Eric Bodden. „Allerdings zeigen unsere Forschungsergebnisse und die Problematik an sich, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist.“ Als die Wissenschaftler das Problem entdeckten, informierten sie umgehend die Cloud-Anbieter sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI).

„Mit der Hilfe von Amazon und Facebook informierten wir ebenfalls die Entwickler der betroffenen Apps, denn sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen.“, sagt Bodden.

Oliver Küch | Fraunhofer-Institut für Sichere Informationstechnologie (SIT)

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Sicheres Bezahlen ohne Datenspur
17.10.2017 | Karlsruher Institut für Technologie

nachricht Saarbrücker Forscher erstellen digitale Objekte aus unvollständigen 3-D-Daten
12.10.2017 | Universität des Saarlandes

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Schnelle individualisierte Therapiewahl durch Sortierung von Biomolekülen und Zellen mit Licht

Im Blut zirkulierende Biomoleküle und Zellen sind Träger diagnostischer Information, deren Analyse hochwirksame, individuelle Therapien ermöglichen. Um diese Information zu erschließen, haben Wissenschaftler des Fraunhofer-Instituts für Lasertechnik ILT ein Mikrochip-basiertes Diagnosegerät entwickelt: Der »AnaLighter« analysiert und sortiert klinisch relevante Biomoleküle und Zellen in einer Blutprobe mit Licht. Dadurch können Frühdiagnosen beispielsweise von Tumor- sowie Herz-Kreislauf-Erkrankungen gestellt und patientenindividuelle Therapien eingeleitet werden. Experten des Fraunhofer ILT stellen diese Technologie vom 13.–16. November auf der COMPAMED 2017 in Düsseldorf vor.

Der »AnaLighter« ist ein kompaktes Diagnosegerät zum Sortieren von Zellen und Biomolekülen. Sein technologischer Kern basiert auf einem optisch schaltbaren...

Im Focus: Neue Möglichkeiten für die Immuntherapie beim Lungenkrebs entdeckt

Eine gemeinsame Studie der Universität Bern und des Inselspitals Bern zeigt, dass spezielle Bindegewebszellen, die in normalen Blutgefässen die Wände abdichten, bei Lungenkrebs nicht mehr richtig funktionieren. Zusätzlich unterdrücken sie die immunologische Bekämpfung des Tumors. Die Resultate legen nahe, dass diese Zellen ein neues Ziel für die Immuntherapie gegen Lungenkarzinome sein könnten.

Lungenkarzinome sind die häufigste Krebsform weltweit. Jährlich werden 1.8 Millionen Neudiagnosen gestellt; und 2016 starben 1.6 Millionen Menschen an der...

Im Focus: Sicheres Bezahlen ohne Datenspur

Ob als Smartphone-App für die Fahrkarte im Nahverkehr, als Geldwertkarten für das Schwimmbad oder in Form einer Bonuskarte für den Supermarkt: Für viele gehören „elektronische Geldbörsen“ längst zum Alltag. Doch vielen Kunden ist nicht klar, dass sie mit der Nutzung dieser Angebote weitestgehend auf ihre Privatsphäre verzichten. Am Karlsruher Institut für Technologie (KIT) entsteht ein sicheres und anonymes System, das gleichzeitig Alltagstauglichkeit verspricht. Es wird nun auf der Konferenz ACM CCS 2017 in den USA vorgestellt.

Es ist vor allem das fehlende Problembewusstsein, das den Informatiker Andy Rupp von der Arbeitsgruppe „Kryptographie und Sicherheit“ am KIT immer wieder...

Im Focus: Neutron star merger directly observed for the first time

University of Maryland researchers contribute to historic detection of gravitational waves and light created by event

On August 17, 2017, at 12:41:04 UTC, scientists made the first direct observation of a merger between two neutron stars--the dense, collapsed cores that remain...

Im Focus: Breaking: the first light from two neutron stars merging

Seven new papers describe the first-ever detection of light from a gravitational wave source. The event, caused by two neutron stars colliding and merging together, was dubbed GW170817 because it sent ripples through space-time that reached Earth on 2017 August 17. Around the world, hundreds of excited astronomers mobilized quickly and were able to observe the event using numerous telescopes, providing a wealth of new data.

Previous detections of gravitational waves have all involved the merger of two black holes, a feat that won the 2017 Nobel Prize in Physics earlier this month....

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Mobilität 4.0: Konferenz an der Jacobs University

18.10.2017 | Veranstaltungen

Smart MES 2017: die Fertigung der Zukunft

18.10.2017 | Veranstaltungen

DFG unterstützt Kongresse und Tagungen - Dezember 2017

17.10.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Schnelle individualisierte Therapiewahl durch Sortierung von Biomolekülen und Zellen mit Licht

18.10.2017 | Biowissenschaften Chemie

Biokunststoffe könnten auch in Traktoren die Richtung angeben

18.10.2017 | Messenachrichten

»ILIGHTS«-Studie gestartet: Licht soll Wohlbefinden von Schichtarbeitern verbessern

18.10.2017 | Energie und Elektrotechnik