Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Datenleck in Apps bedroht Millionen von Nutzern

27.05.2015

Technische Universität Darmstadt und Fraunhofer SIT: Entwickler verwenden Authentifizierungen für Cloud Services falsch und machen so Millionen Datensätze anfällig für Angriffe

Die Technische Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie SIT haben Cloud-Datenbanken wie Facebooks Parse und Amazons AWS untersucht und 56 Millionen ungeschützte Datensätze gefunden.


Sensible App-Daten liegen oft ungeschützt in Cloud-Datenbanken.

Fraunhofer SIT

Die Forscher fanden E-Mailadressen, Passwörter, Gesundheitsdaten und andere sensible Informationen von App-Benutzern, die leicht gestohlen und manipuliert werden können. App-Entwickler verwenden Cloud-Datenbanken, um Nutzerdaten zu speichern, ignorieren dabei aber scheinbar die Sicherheitsempfehlungen der Cloud-Anbieter.

Das Ergebnis: Viele Nutzerkonten sind durch Identitätsdiebstahl und andere Internetverbrechen bedroht. „Nutzer sollten sich deshalb gut überlegen, welche Daten sie mit Apps verwalten“, sagt Prof. Eric Bodden, der Leiter des Forscherteams. Weitere Informationen zur Schwachstelle finden Sie im Internet unter www.sit.fraunhofer.de/appdatathreat .

Viele Smartphone-Apps speichern Nutzerinformationen in Cloud-Datenbanken, um zum Beispiel die Synchronisation zwischen Android und iOS Apps zu vereinfachen. Cloud-Betreiber bieten – je nach Sensibilität der Daten – verschiedene Authentifizierungsmethoden hierfür an. Die schwächste Form der Authentifizierung, eher dazu gedacht, Daten zu identifizieren als zu schützen, verwendet ein einfaches API-Token, eine in den App-Code eingebettete Nummer.

Mit aktuellen Werkzeugen können Angreifer diese Token jedoch einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren. Angreifer können so zum Beispiel E-Mailadressen auf dem Schwarzmarkt verkaufen, Nutzer erpressen, Webseiten verändern oder Schadcode einschleusen, um Malware zu verbreiten oder Botnetze aufzubauen.

Um private Daten richtig zu schützen, müssen Apps ein Zugangskontrollschema implementieren. Die Tests zeigten allerdings, dass die große Mehrheit der Apps keine solche Zugangskontrolle verwendet. Die Wissenschaftler untersuchten 750.000 Apps aus dem Google Play Store und dem Apple App Store. Dazu verwendeten sie intern entwickelte Analyse-Frameworks wie etwa den Fraunhofer Appicaptor.

Mit Hilfe dieser Expertenwerkzeuge konnten die Forscher Apps identifizieren, die eine schwache Authentifizierung nutzen und führten eine Tiefenanalyse ausgewählter Apps durch. Während dieser Untersuchungen stellte sich heraus, dass viele Datenfelder private Informationen wie verifizierte E-Mailadressen, komplette Benutzernamen oder gar Informationen zu psychischen Krankheiten enthielten.

„Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen“, erklärt Prof. Eric Bodden. „Allerdings zeigen unsere Forschungsergebnisse und die Problematik an sich, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist.“ Als die Wissenschaftler das Problem entdeckten, informierten sie umgehend die Cloud-Anbieter sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI).

„Mit der Hilfe von Amazon und Facebook informierten wir ebenfalls die Entwickler der betroffenen Apps, denn sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen.“, sagt Bodden.

Oliver Küch | Fraunhofer-Institut für Sichere Informationstechnologie (SIT)

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht KIT baut European Open Science Cloud mit auf
19.02.2018 | Karlsruher Institut für Technologie

nachricht Mit wenigen Klicks zum Edge Datacenter
19.02.2018 | Rittal GmbH & Co. KG

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Eine Frage der Dynamik

Die meisten Ionenkanäle lassen nur eine ganz bestimmte Sorte von Ionen passieren, zum Beispiel Natrium- oder Kaliumionen. Daneben gibt es jedoch eine Reihe von Kanälen, die für beide Ionensorten durchlässig sind. Wie den Eiweißmolekülen das gelingt, hat jetzt ein Team um die Wissenschaftlerin Han Sun (FMP) und die Arbeitsgruppe von Adam Lange (FMP) herausgefunden. Solche nicht-selektiven Kanäle besäßen anders als die selektiven eine dynamische Struktur ihres Selektivitätsfilters, berichten die FMP-Forscher im Fachblatt Nature Communications. Dieser Filter könne zwei unterschiedliche Formen ausbilden, die jeweils nur eine der beiden Ionensorten passieren lassen.

Ionenkanäle sind für den Organismus von herausragender Bedeutung. Wenn zum Beispiel Sinnesreize wahrgenommen, ans Gehirn weitergeleitet und dort verarbeitet...

Im Focus: In best circles: First integrated circuit from self-assembled polymer

For the first time, a team of researchers at the Max-Planck Institute (MPI) for Polymer Research in Mainz, Germany, has succeeded in making an integrated circuit (IC) from just a monolayer of a semiconducting polymer via a bottom-up, self-assembly approach.

In the self-assembly process, the semiconducting polymer arranges itself into an ordered monolayer in a transistor. The transistors are binary switches used...

Im Focus: Erste integrierte Schaltkreise (IC) aus Plastik

Erstmals ist es einem Forscherteam am Max-Planck-Institut (MPI) für Polymerforschung in Mainz gelungen, einen integrierten Schaltkreis (IC) aus einer monomolekularen Schicht eines Halbleiterpolymers herzustellen. Dies erfolgte in einem sogenannten Bottom-Up-Ansatz durch einen selbstanordnenden Aufbau.

In diesem selbstanordnenden Aufbauprozess ordnen sich die Halbleiterpolymere als geordnete monomolekulare Schicht in einem Transistor an. Transistoren sind...

Im Focus: Quantenbits per Licht übertragen

Physiker aus Princeton, Konstanz und Maryland koppeln Quantenbits und Licht

Der Quantencomputer rückt näher: Neue Forschungsergebnisse zeigen das Potenzial von Licht als Medium, um Informationen zwischen sogenannten Quantenbits...

Im Focus: Demonstration of a single molecule piezoelectric effect

Breakthrough provides a new concept of the design of molecular motors, sensors and electricity generators at nanoscale

Researchers from the Institute of Organic Chemistry and Biochemistry of the CAS (IOCB Prague), Institute of Physics of the CAS (IP CAS) and Palacký University...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Aachener Optiktage: Expertenwissen in zwei Konferenzen für die Glas- und Kunststoffoptikfertigung

19.02.2018 | Veranstaltungen

Konferenz "Die Mobilität von morgen gestalten"

19.02.2018 | Veranstaltungen

Von Bitcoins bis zur Genomchirurgie

19.02.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Die Zukunft wird gedruckt

19.02.2018 | Architektur Bauwesen

Fraunhofer HHI präsentiert neueste VR- und 5G-Technologien auf dem Mobile World Congress

19.02.2018 | Messenachrichten

Stabile Gashydrate lösen Hangrutschung aus

19.02.2018 | Geowissenschaften

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics