Datenleck in Apps bedroht Millionen von Nutzern

Sensible App-Daten liegen oft ungeschützt in Cloud-Datenbanken. Fraunhofer SIT

Die Technische Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie SIT haben Cloud-Datenbanken wie Facebooks Parse und Amazons AWS untersucht und 56 Millionen ungeschützte Datensätze gefunden.

Die Forscher fanden E-Mailadressen, Passwörter, Gesundheitsdaten und andere sensible Informationen von App-Benutzern, die leicht gestohlen und manipuliert werden können. App-Entwickler verwenden Cloud-Datenbanken, um Nutzerdaten zu speichern, ignorieren dabei aber scheinbar die Sicherheitsempfehlungen der Cloud-Anbieter.

Das Ergebnis: Viele Nutzerkonten sind durch Identitätsdiebstahl und andere Internetverbrechen bedroht. „Nutzer sollten sich deshalb gut überlegen, welche Daten sie mit Apps verwalten“, sagt Prof. Eric Bodden, der Leiter des Forscherteams. Weitere Informationen zur Schwachstelle finden Sie im Internet unter www.sit.fraunhofer.de/appdatathreat .

Viele Smartphone-Apps speichern Nutzerinformationen in Cloud-Datenbanken, um zum Beispiel die Synchronisation zwischen Android und iOS Apps zu vereinfachen. Cloud-Betreiber bieten – je nach Sensibilität der Daten – verschiedene Authentifizierungsmethoden hierfür an. Die schwächste Form der Authentifizierung, eher dazu gedacht, Daten zu identifizieren als zu schützen, verwendet ein einfaches API-Token, eine in den App-Code eingebettete Nummer.

Mit aktuellen Werkzeugen können Angreifer diese Token jedoch einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren. Angreifer können so zum Beispiel E-Mailadressen auf dem Schwarzmarkt verkaufen, Nutzer erpressen, Webseiten verändern oder Schadcode einschleusen, um Malware zu verbreiten oder Botnetze aufzubauen.

Um private Daten richtig zu schützen, müssen Apps ein Zugangskontrollschema implementieren. Die Tests zeigten allerdings, dass die große Mehrheit der Apps keine solche Zugangskontrolle verwendet. Die Wissenschaftler untersuchten 750.000 Apps aus dem Google Play Store und dem Apple App Store. Dazu verwendeten sie intern entwickelte Analyse-Frameworks wie etwa den Fraunhofer Appicaptor.

Mit Hilfe dieser Expertenwerkzeuge konnten die Forscher Apps identifizieren, die eine schwache Authentifizierung nutzen und führten eine Tiefenanalyse ausgewählter Apps durch. Während dieser Untersuchungen stellte sich heraus, dass viele Datenfelder private Informationen wie verifizierte E-Mailadressen, komplette Benutzernamen oder gar Informationen zu psychischen Krankheiten enthielten.

„Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen“, erklärt Prof. Eric Bodden. „Allerdings zeigen unsere Forschungsergebnisse und die Problematik an sich, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist.“ Als die Wissenschaftler das Problem entdeckten, informierten sie umgehend die Cloud-Anbieter sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI).

„Mit der Hilfe von Amazon und Facebook informierten wir ebenfalls die Entwickler der betroffenen Apps, denn sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen.“, sagt Bodden.

Media Contact

Oliver Küch Fraunhofer-Institut für Sichere Informationstechnologie (SIT)

All latest news from the category: Informationstechnologie

Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.

Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.

Back to home

Kommentare (0)

Schreiben Sie einen Kommentar

Newest articles

Optische 3D-Messtechnik am 10. und 11. November 2021

Seminar mit Praktikum… Der Fraunhofer Geschäftsbereich Vision setzt die Seminarreihe zur optischen 3D-Messtechnik fort und veranstaltet am Mittwoch und Donnerstag, 10. und 11. November 2021 das Seminar mit Praktikum »Optische…

„Weniger als nichts“ – Teilchen mit negativer Masse entdeckt

Physiker der Universität Regensburg publizieren Ergebnisse in der international renommierten Fachzeitschrift „Nature Communications“. Eine große internationale Forschungskooperation unter der Leitung von Dr. Kai-Qiang Lin und Professor Dr. John Lupton vom…

Wie resistente Keime Gift auf molekularer Ebene transportieren

Um der zunehmenden Bedrohung durch multiresistente Keime zu begegnen, ist das Verständnis der Resistenzmechanismen zentral. Eine wichtige Rolle dabei spielen Transportproteine. Ein deutsch-britisches Forschungsteam unter Leitung der Heinrich-Heine-Universität Düsseldorf (HHU)…

Partner & Förderer