Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Your Smartphone is Watching You: Gefährliche Sicherheitslücken in Tracker-Apps

13.08.2018

Fraunhofer-Forscher finden Schwachstellen in Apps: Komplette Überwachung von Smartphones möglich. Millionen Installationen betroffen.

Viele Tracker-Apps, mit denen beispielsweise Eltern ihre Kinder orten können, haben gravierende Sicherheitslücken. Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie haben beliebte Tracker-Apps aus dem Google Play Store untersucht – das Ergebnis: Keine einzige davon war sicher programmiert, alle hatten teils gravierende Schwachstellen.


Viele Tracker-Apps, mit denen beispielsweise Eltern ihre Kinder orten können, haben gravierende Sicherheitslücken.

Fraunhofer SIT


Angreifer müssen nicht jedes Smartphone einzeln überwachen, sondern können zeitgleich Millionen von Nutzern angreifen, die diese Apps auf ihrem Smartphone installiert haben.

Fraunhofer SIT

Angreifer können diese ausnutzen, um Bewegungsprofile zu erstellen, Chats und SMS-Nachrichten zu lesen und Bilder anzusehen. Besonders brisant: Angreifer müssen nicht jedes Smartphone einzeln überwachen, sondern können zeitgleich Millionen von Nutzern angreifen, die diese Apps auf ihrem Smartphone installiert haben. Zum ersten Mal vorgestellt haben die Wissenschaftler ihre Ergebnisse am 11. August auf der DEF CON Hacking Conference in Las Vegas.

Mit sogenannten Monitoring- oder Tracker-Apps können Smartphone-Nutzer überwacht werden. Beispielsweise nutzen Eltern eine solche App, um jederzeit zu wissen, wo sich ihre Kinder befinden oder welche Nachrichten und Bilder sie verschicken. Die Nutzung dieser Apps ist legal, sofern der oder die Ausspionierte damit einverstanden ist.

Wissenschaftler des Fraunhofer SIT haben 19 legale Apps, die im Google Play Store angeboten werden, untersucht. Die Apps wurden laut Google mehrere Millionen Mal installiert. Die Wissenschaftler haben geprüft, wie die hochsensiblen Nutzerdaten, die diese Apps erheben, geschützt sind.

Das Ergebnis: Alle Apps haben gravierende Schwachstellen, keine einzige Anwendung war sicher programmiert. Insgesamt haben die Forscher 37 Sicherheitslücken gefunden.

Die hochsensiblen Daten werden meist im Klartext auf einem Server abgespeichert, ohne durch korrekte Verschlüsselung abgesichert zu sein. „Wir mussten lediglich eine bestimmte Webseite aufrufen und einen Nutzernamen in die URL eingeben oder raten, um das Bewegungsprofil einer Person aufzurufen“, erklärt Fraunhofer-Projektleiter Siegfried Rasthofer, der gemeinsam mit der Fraunhofer Hacking-Gruppe TeamSIK die Apps untersucht hat.

Die Forscher fanden auf den Servern nicht nur Daten einzelner Personen, sondern konnten von allen Nutzern dieser Apps komplette Bewegungsprofile auslesen, die ungesichert auf einem Server gespeichert waren. „Damit ist eine Echtzeitverfolgung von Tausenden Menschen möglich“, sagt Rasthofer.

Über die unsicher programmierten Apps können Angreifer nicht nur Metadaten wie Aufenthaltsorte abrufen, sondern auch Inhalte wie SMS-Nachrichten und Bilder der überwachten App-Nutzer lesen und ansehen. „Damit ist eine komplette Überwachung möglich“, erklärt Stephan Huber, Mitglied von TeamSIK und Forscher am Fraunhofer SIT.

Darüber hinaus ist es den Wissenschaftlern gelungen, die Anmeldeinformationen der App-Nutzer auszulesen. Auch diese waren bei den meisten Apps unverschlüsselt gespeichert oder nur mit völlig ungenügender Verschlüsselung gesichert – das Team um Siegfried Rasthofer und Stephan Huber hatte beispielhaft bei einer App 1.700.000 Login-Daten gefunden.

Die Fraunhofer-Wissenschaftler haben die App-Anbieter sowie den Google Play Store über ihre Entdeckungen informiert. 12 der 19 untersuchten Apps sind inzwischen aus dem Play Store entfernt worden. Andere Anbieter hingegen haben gar nicht reagiert.

Mehr Informationen über das Forscherteam und ihre Ergebnisse gibt es im Internet unter https://team-sik.org/trent_portfolio/in-security-of-tracking-apps/ .

Wissenschaftliche Ansprechpartner:

https://team-sik.org/trent_portfolio/in-security-of-tracking-apps/

Oliver Küch | Fraunhofer-Institut für Sichere Informationstechnologie SIT

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Starre Bindungen für neue Smartphone-Datenspeicher
14.06.2019 | European XFEL GmbH

nachricht MPSD-Team entdeckt lichtinduzierte Ferroelektrizität in Strontiumtitanat
14.06.2019 | Max-Planck-Institut für Struktur und Dynamik der Materie

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: MPSD-Team entdeckt lichtinduzierte Ferroelektrizität in Strontiumtitanat

Mit Licht lassen sich Materialeigenschaften nicht nur messen, sondern auch verändern. Besonders interessant sind dabei Fälle, in denen eine fundamentale Eigenschaft eines Materials verändert werden kann, wie z.B. die Fähigkeit, Strom zu leiten oder Informationen in einem magnetischen Zustand zu speichern. Ein Team um Andrea Cavalleri vom Max-Planck-Institut für Struktur und Dynamik der Materie in Hamburg, hat nun Lichtimpulse aus dem Terahertz-Frequenzspektrum benutzt, um ein nicht-ferroelektrisches Material in ein ferroelektrisches umzuwandeln.

Ferroelektrizität ist ein Zustand, in dem die Atome im Kristallgitter eine bestimmte Richtung "aufzeigen" und dadurch eine makroskopische elektrische...

Im Focus: MPSD team discovers light-induced ferroelectricity in strontium titanate

Light can be used not only to measure materials’ properties, but also to change them. Especially interesting are those cases in which the function of a material can be modified, such as its ability to conduct electricity or to store information in its magnetic state. A team led by Andrea Cavalleri from the Max Planck Institute for the Structure and Dynamics of Matter in Hamburg used terahertz frequency light pulses to transform a non-ferroelectric material into a ferroelectric one.

Ferroelectricity is a state in which the constituent lattice “looks” in one specific direction, forming a macroscopic electrical polarisation. The ability to...

Im Focus: Konzert der magnetischen Momente

Forscher aus Deutschland, den Niederlanden und Südkorea haben in einer internationalen Zusammenarbeit einen neuartigen Weg entdeckt, wie die Elektronenspins in einem Material miteinander agieren. In ihrer Publikation in der Fachzeitschrift Nature Materials berichten die Forscher über eine bisher unbekannte, chirale Kopplung, die über vergleichsweise lange Distanzen aktiv ist. Damit können sich die Spins in zwei unterschiedlichen magnetischen Lagen, die durch nicht-magnetische Materialien voneinander getrennt sind, gegenseitig beeinflussen, selbst wenn sie nicht unmittelbar benachbart sind.

Magnetische Festkörper sind die Grundlage der modernen Informationstechnologie. Beispielsweise sind diese Materialien allgegenwärtig in Speichermedien wie...

Im Focus: Schwerefeldbestimmung der Erde so genau wie noch nie

Forschende der TU Graz berechneten aus 1,16 Milliarden Satellitendaten das bislang genaueste Schwerefeldmodell der Erde. Es liefert wertvolles Wissen für die Klimaforschung.

Die Erdanziehungskraft schwankt von Ort zu Ort. Dieses Phänomen nutzen Geodäsie-Fachleute, um geodynamische und klimatologische Prozesse zu beobachten....

Im Focus: Determining the Earth’s gravity field more accurately than ever before

Researchers at TU Graz calculate the most accurate gravity field determination of the Earth using 1.16 billion satellite measurements. This yields valuable knowledge for climate research.

The Earth’s gravity fluctuates from place to place. Geodesists use this phenomenon to observe geodynamic and climatological processes. Using...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Doc Data – warum Daten Leben retten können

14.06.2019 | Veranstaltungen

DFG unterstützt Kongresse und Tagungen - August 2019

13.06.2019 | Veranstaltungen

Künstliche Intelligenz in der Materialmikroskopie

13.06.2019 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

German Innovation Award für Rittal VX25 Schaltschranksystem

14.06.2019 | Förderungen Preise

Fraunhofer SCAI und Uni Bonn zeigen innovative Anwendungen und Software für das High Performance Computing

14.06.2019 | Messenachrichten

Autonomes Premiumtaxi sofort oder warten auf den selbstfahrenden Minibus?

14.06.2019 | Interdisziplinäre Forschung

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics