Leck in App macht Daten von RSA-Conference-Besuchern öffentlich

Forscher haben eine Sicherheitslücke in der App zur laufenden Sicherheitskonferenz des Unternehmens RSA entdeckt. Sie ermöglicht Zugriff auf die Daten Tausender Konferenzbesucher, die die App unter Android oder unter iOS installiert haben. Mit einem Man-in-the-Middle-Angriff lassen sie sich für andere Zwecke als die beabsichtigten abfangen.

Das Problem besteht laut Gunter Ollmann von der Sicherheitsfirma IOActive darin, dass die App eine SQLite-Datenbank herunterlädt, die Angaben zu Veranstaltungen und Rednern enthält – aber auch Angaben zu jedem registrierten Nutzer der Software, was Vor- und Zunamen, Jobtitel, Arbeitgeber und Nationalität einschließt. Ollmann: „Ich habe keine Ahnung, warum die Entwickler das so gelöst haben, aber ich bin sicher, dass die Nutzer der Anwendung das nicht erwarten und diese Art Veröffentlichung auch nicht gut finden. Marktforscher dagegen wissen solche Daten sehr zu schätzen.“

Ollmann gesteht ein, dass der Name RSA die Lücke noch aufwertet: Schließlich findet sich der Fehler ausgerechnet in der Mobil-App zur wichtigsten Sicherheitskonferenz weltweit, die nach Anschuldigungen über eine Zusammenarbeit zwischen RSA und dem US-Geheimdienst NSA in diesem Jahr besonders genau verfolgt wird. „Ich wette, RSA hat die Anwendung nicht einmal selbst erstellt. In Google Play findet sich eine Firma namens QuickMobile als Entwickler verzeichnet.“

QuickMobile hat auch schon für andere bekannte Firmen Apps entwickelt, etwa Adobe und McDonalds. Auf seiner Website verzeichnet es auch Dell, Disney und Microsoft als Kunden. Weder von RSA noch von Quickmobile liegt derzeit eine Stellungnahme vor.

Anwendern rät Ollmann nur, die fragliche App einfach nicht herunterzuladen – „wenn Sie nicht ein Hacker sind, oder ein Marketing-Team, das kostenlos eine Liste der Teilnehmer beziehen möchte.“ RSA habe man verständigt. „Wir haben sie und EMC [der Konzernmutter von RSA] benachrichtigt und ihnen die Entscheidung überlassen, wie das Problem gelöst werden soll, wenn sie das für nötig halten – was ich hoffe.“

Von der RSA-App heruntergeladene Daten (Screenshot: IOActive)

Die RSA Conference muss sich in diesem Jahr auch mit anhaltenden Protesten und einer konkurrierenden Veranstaltung für RSA-Boykotteure auseinandersetzen. Die Protestierenden haben das nahegelegene Restaurant Chevys als Standort angemietet. Zutritt gewähren sie nur Teilnehmern von TrustyCon – nicht aber RSA-Conference-Besuchern, selbst wenn diese so prominent wie Kevin Mitnick sind.

Wie im Dezember bekannt wurde, soll der Sicherheitsdienstleister RSA 10 Millionen Dollar von der NSA erhalten und als Gegenleistung einen kryptografischen Algorithmus so geschwächt haben, dass damit gesicherte Daten für den Geheimdienst entschlüsselbar wurden. Mikko Hypponen, Forschungsschef von F-Secure, und weitere Sicherheitsexperten sagten daraufhin ihre Teilnahme an der von RSA Security veranstalteten jährlichen Branchenkonferenz ab. Während der Konferenz bestätigte RSA-Chef Art Coviello eine Zusammenarbeit mit der NSA, die schließlich ihr größter Kunde gewesen sei – ging dabei aber nicht auf die berichtete Millionenzahlung der NSA ein.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de