Studie: Android- und iOS-Apps speichern sensible Informationen unverschlüsselt

Laut einer Studie von ViaForensics speichern viele Android- und iOS-Apps sensible Informationen im Klartext ab. In 76 Prozent der Fälle wurden Nutzernamen unverschlüsselt abgelegt. 10 Prozent der getesteten Anwendungen speicherten gar Passwörter auf dieselbe Weise.


ViaForensics beurteilten die getesteten Apps mit Hilfe eines Ampelsystems. 39 von 100 fielen durch (Bild: ViaForensics).

Die Sicherheitsforscher führten zwischen November 2010 und Juni 2011 eine Reihe von Tests durch. Sie analysierten Anwendungen aus verschiedenen Kategorien, darunter Apps für Finanzen, Soziale Netze, Produktivanwendungen sowie Shopping-Apps. Jede wurde mit Hilfe eines Ampelsystems bewertet: Rot steht für „Durchgefallen“, Gelb für „Warnung“ und Grün für „Bestanden“. Eine Warnung bedeutete, dass Informationen zwar teilweise nicht akkurat gesichert waren, den Nutzer aber keinem signifikanten Risiko aussetzen.

Von 100 getesteten Apps fielen 39 durch; nur 17 erhielten ein „Bestanden“ und 44 Anwendungen kamen mit einer Warnung davon. Finanz-Apps schnitten dabei am besten ab: 14 von 32 stellten sich als sicher heraus, 10 weitere bekamen gelbes Licht.

ViaForensics zufolge fügten die Entwickler in den meisten Fällen Verschlüsselungen hinzu. Entgegen der Erwartung, eine Verschlüsselung könne die Performance beeinträchtigen, seien alle Apps flüssig zu handhaben gewesen, urteilen die Sicherheitsforscher. Unter den durchgefallenen Anwendungen waren Mint für iPhone und Android, Square für iPhone sowie Wikinvest für iPhone.

Die Social-Networking-Anwendungen schnitten weniger gut ab: 14 von 19 Apps sicherten die Daten gänzlich unzureichend. Keine erhielt grünes Licht, und keine verschlüsselte die Nutzernamen. Viele verschlüsselten zudem weder Passwörter noch Nutzungsdaten – etwa LinkedIn für Android, Foursquare für Android, Kik für iPhone und Android.

Bei den Produktivitätsanwendungen ergab sich ein ähnliches Bild: Nur drei von 35 absolvierten den Test erfolgreich. Unter anderem Apps für Google Mail, iPhone Mail, WordPress und Yahoo Mail speicherten E-Mail-Inhalte im Klartext ab. Die meisten Shopping-Apps kamen mit einer Warnung davon. Zwar bestand keine den Text, aber nur zwei von 14 fielen durch. Die Analysten hoben Groupon für Android hervor, ebenso wie eine inoffizielle Starbucks-App, die die volle Kreditkartennummer eines Anwenders speicherte.

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago