Laut einer Studie von ViaForensics speichern viele Android- und iOS-Apps sensible Informationen im Klartext ab. In 76 Prozent der Fälle wurden Nutzernamen unverschlüsselt abgelegt. 10 Prozent der getesteten Anwendungen speicherten gar Passwörter auf dieselbe Weise.
Die Sicherheitsforscher führten zwischen November 2010 und Juni 2011 eine Reihe von Tests durch. Sie analysierten Anwendungen aus verschiedenen Kategorien, darunter Apps für Finanzen, Soziale Netze, Produktivanwendungen sowie Shopping-Apps. Jede wurde mit Hilfe eines Ampelsystems bewertet: Rot steht für „Durchgefallen“, Gelb für „Warnung“ und Grün für „Bestanden“. Eine Warnung bedeutete, dass Informationen zwar teilweise nicht akkurat gesichert waren, den Nutzer aber keinem signifikanten Risiko aussetzen.
Von 100 getesteten Apps fielen 39 durch; nur 17 erhielten ein „Bestanden“ und 44 Anwendungen kamen mit einer Warnung davon. Finanz-Apps schnitten dabei am besten ab: 14 von 32 stellten sich als sicher heraus, 10 weitere bekamen gelbes Licht.
ViaForensics zufolge fügten die Entwickler in den meisten Fällen Verschlüsselungen hinzu. Entgegen der Erwartung, eine Verschlüsselung könne die Performance beeinträchtigen, seien alle Apps flüssig zu handhaben gewesen, urteilen die Sicherheitsforscher. Unter den durchgefallenen Anwendungen waren Mint für iPhone und Android, Square für iPhone sowie Wikinvest für iPhone.
Die Social-Networking-Anwendungen schnitten weniger gut ab: 14 von 19 Apps sicherten die Daten gänzlich unzureichend. Keine erhielt grünes Licht, und keine verschlüsselte die Nutzernamen. Viele verschlüsselten zudem weder Passwörter noch Nutzungsdaten – etwa LinkedIn für Android, Foursquare für Android, Kik für iPhone und Android.
Bei den Produktivitätsanwendungen ergab sich ein ähnliches Bild: Nur drei von 35 absolvierten den Test erfolgreich. Unter anderem Apps für Google Mail, iPhone Mail, WordPress und Yahoo Mail speicherten E-Mail-Inhalte im Klartext ab. Die meisten Shopping-Apps kamen mit einer Warnung davon. Zwar bestand keine den Text, aber nur zwei von 14 fielen durch. Die Analysten hoben Groupon für Android hervor, ebenso wie eine inoffizielle Starbucks-App, die die volle Kreditkartennummer eines Anwenders speicherte.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…