Leck in App macht Daten von RSA-Conference-Besuchern öffentlich

Forscher haben eine Sicherheitslücke in der App zur laufenden Sicherheitskonferenz des Unternehmens RSA entdeckt. Sie ermöglicht Zugriff auf die Daten Tausender Konferenzbesucher, die die App unter Android oder unter iOS installiert haben. Mit einem Man-in-the-Middle-Angriff lassen sie sich für andere Zwecke als die beabsichtigten abfangen.

Das Problem besteht laut Gunter Ollmann von der Sicherheitsfirma IOActive darin, dass die App eine SQLite-Datenbank herunterlädt, die Angaben zu Veranstaltungen und Rednern enthält – aber auch Angaben zu jedem registrierten Nutzer der Software, was Vor- und Zunamen, Jobtitel, Arbeitgeber und Nationalität einschließt. Ollmann: „Ich habe keine Ahnung, warum die Entwickler das so gelöst haben, aber ich bin sicher, dass die Nutzer der Anwendung das nicht erwarten und diese Art Veröffentlichung auch nicht gut finden. Marktforscher dagegen wissen solche Daten sehr zu schätzen.“

Ollmann gesteht ein, dass der Name RSA die Lücke noch aufwertet: Schließlich findet sich der Fehler ausgerechnet in der Mobil-App zur wichtigsten Sicherheitskonferenz weltweit, die nach Anschuldigungen über eine Zusammenarbeit zwischen RSA und dem US-Geheimdienst NSA in diesem Jahr besonders genau verfolgt wird. „Ich wette, RSA hat die Anwendung nicht einmal selbst erstellt. In Google Play findet sich eine Firma namens QuickMobile als Entwickler verzeichnet.“

QuickMobile hat auch schon für andere bekannte Firmen Apps entwickelt, etwa Adobe und McDonalds. Auf seiner Website verzeichnet es auch Dell, Disney und Microsoft als Kunden. Weder von RSA noch von Quickmobile liegt derzeit eine Stellungnahme vor.

Anwendern rät Ollmann nur, die fragliche App einfach nicht herunterzuladen – „wenn Sie nicht ein Hacker sind, oder ein Marketing-Team, das kostenlos eine Liste der Teilnehmer beziehen möchte.“ RSA habe man verständigt. „Wir haben sie und EMC [der Konzernmutter von RSA] benachrichtigt und ihnen die Entscheidung überlassen, wie das Problem gelöst werden soll, wenn sie das für nötig halten – was ich hoffe.“

Von der RSA-App heruntergeladene Daten (Screenshot: IOActive)

Die RSA Conference muss sich in diesem Jahr auch mit anhaltenden Protesten und einer konkurrierenden Veranstaltung für RSA-Boykotteure auseinandersetzen. Die Protestierenden haben das nahegelegene Restaurant Chevys als Standort angemietet. Zutritt gewähren sie nur Teilnehmern von TrustyCon – nicht aber RSA-Conference-Besuchern, selbst wenn diese so prominent wie Kevin Mitnick sind.

Wie im Dezember bekannt wurde, soll der Sicherheitsdienstleister RSA 10 Millionen Dollar von der NSA erhalten und als Gegenleistung einen kryptografischen Algorithmus so geschwächt haben, dass damit gesicherte Daten für den Geheimdienst entschlüsselbar wurden. Mikko Hypponen, Forschungsschef von F-Secure, und weitere Sicherheitsexperten sagten daraufhin ihre Teilnahme an der von RSA Security veranstalteten jährlichen Branchenkonferenz ab. Während der Konferenz bestätigte RSA-Chef Art Coviello eine Zusammenarbeit mit der NSA, die schließlich ihr größter Kunde gewesen sei – ging dabei aber nicht auf die berichtete Millionenzahlung der NSA ein.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

20 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

22 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

22 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago