Deutsche Sicherheitsforscher haben 13.500 kostenlose Apps aus Google Play runtergeladen und analysiert. 41 Apps geben aufgrund unzureichender Verschlüsselung Passwörter preis, den Zugang zu Facebook, dem eigenen Bank-Account oder Inhalten von Nachrichten. Weitere 1000 sind anfällig für Zugriffe von außen.
"Wir konnten Bank-Daten, die Login-Daten für PayPal, die Kreditkartennummern von American Express auslesen", gaben die Sicherheitsforscher der Leibnitz Universität of Hannover aus Deutschland und der Marburg Universität an. "Weiters wurden die Passwörter von E-Mail-Diensten, Facebook und Cloud-Hosting-Diensten geleakt. Wir konnten außerdem auf die IP-Kameras zugreifen und konnten Apps installieren und deinstallieren."
Die Forscher haben insgesamt 13.500 kostenlose Apps runtergeladen und mittels SSL analysiert, um sogenannte "Man-in-the-Middle"-Angriffe durchzuführen. Acht Prozent der untersuchten Apps, also rund 1000, waren für derartige Angriffe über öffentliche WLAN-Netze anfällig.
Massive Verfehlungen auch bei beliebten Apps
Die Sicherheitsforscher haben sich daraufhin weitere 100 Apps der Anfälligen rausgesucht, um sie genauer zu analysieren und zu testen. Darunter befand sich beispielsweise eine Anti-Virus-App, die ungültige Zertifikate akzeptiert hat. Die Forscher konnten auf diesem Weg ihre eigene manipulierte Signatur einschmuggeln. Eine weitere App, die von bis zu fünf Millionen Android-Nutzern installiert wurde, bezeichnet sich selbst als "einfach und sicher", um Cloud-basierte Daten rauf- und runterzuladen. Dabei konnten die Login-Daten aufgrund von mangelnder Verschlüsselung einfach abgegriffen werden.
Die Namen der Apps, die von den Sicherheitslücken betroffen sind, veröffentlichten die Forscher nicht. "Es versteht sich von selbst, dass Sicherheit bei App-Entwicklern nicht an erster Stelle steht", so Jon Oberheide, CTO von der Sicherheitsfirma Duo Security zu
Quelle: futurezone.
"Wir konnten Bank-Daten, die Login-Daten für PayPal, die Kreditkartennummern von American Express auslesen", gaben die Sicherheitsforscher der Leibnitz Universität of Hannover aus Deutschland und der Marburg Universität an. "Weiters wurden die Passwörter von E-Mail-Diensten, Facebook und Cloud-Hosting-Diensten geleakt. Wir konnten außerdem auf die IP-Kameras zugreifen und konnten Apps installieren und deinstallieren."
Die Forscher haben insgesamt 13.500 kostenlose Apps runtergeladen und mittels SSL analysiert, um sogenannte "Man-in-the-Middle"-Angriffe durchzuführen. Acht Prozent der untersuchten Apps, also rund 1000, waren für derartige Angriffe über öffentliche WLAN-Netze anfällig.
Massive Verfehlungen auch bei beliebten Apps
Die Sicherheitsforscher haben sich daraufhin weitere 100 Apps der Anfälligen rausgesucht, um sie genauer zu analysieren und zu testen. Darunter befand sich beispielsweise eine Anti-Virus-App, die ungültige Zertifikate akzeptiert hat. Die Forscher konnten auf diesem Weg ihre eigene manipulierte Signatur einschmuggeln. Eine weitere App, die von bis zu fünf Millionen Android-Nutzern installiert wurde, bezeichnet sich selbst als "einfach und sicher", um Cloud-basierte Daten rauf- und runterzuladen. Dabei konnten die Login-Daten aufgrund von mangelnder Verschlüsselung einfach abgegriffen werden.
Die Namen der Apps, die von den Sicherheitslücken betroffen sind, veröffentlichten die Forscher nicht. "Es versteht sich von selbst, dass Sicherheit bei App-Entwicklern nicht an erster Stelle steht", so Jon Oberheide, CTO von der Sicherheitsfirma Duo Security zu
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. "Es ist aber wichtig und gut, dass Forscher den Entwicklern diese einfachen Sicherheitslücken aufzeigen, die es eigentlich niemals durch einen ordentlichen QA-Check des Store-Betreibers schaffen dürften", fügt Oberheide hinzu.Quelle: futurezone.
