Die Technische Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie SIT haben Cloud-Datenbanken wie Facebooks Parse und Amazon Web Services untersucht und dabei rund 56 Millionen ungeschützter Datensätze entdeckt. Die Forscher fanden E-Mail-Adressen, Passwörter, Gesundheitsdaten und andere sensible Informationen von App-Benutzern, die damit ungeschützt dem Zugriff Dritter ausgesetzt sind. Es drohen Identitätsdiebstahl und andere Cyberverbrechen.
Offenbar berücksichtigen dabei aber viele Entwickler die Sicherheitsempfehlungen der Cloud-Anbieter nicht oder setzen sie nicht korrekt und in vollem Umfang um. Tests der Forscher mit dem von ihnen bereits 2014 vorgestellten Analyse-Framework „Fraunhofer Appicaptor“ hätten gezeigt, dass die große Mehrheit der untersuchten 750.000 Apps, die sowohl aus dem Google Play Store als auch dem Apple App Store stammen, keine Zugangskontrollen verwendet.
Wie die Forscher erklären, bieten Cloud-Betreiber mehrere Authentifizierungsmethoden an. Die schwächste Form verwendet ein sogenanntes API-Token, also eine in den App-Code eingebettete Nummer. Dieses Token lasse sich von Angreifern jedoch „einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren.“
Das Interesse der Angreifer: Die auf diese Weise abgegriffenen E-Mail-Adressen lassen sich zum Beispiel auf dem Schwarzmarkt verkaufen. Ist noch mehr kriminelle Energie vorhanden, ist auch denkbar, dass Nutzer erpresst, Webseiten verändert oder Schadprogramme eingeschleust werden, um Malware zu verbreiten oder Botnetze aufzubauen.
Wie Professor Eric Bodden vom Fraunhofer SIT auf einer FAQ-Seite erklärt, haben Anwender derzeit wenig Möglichkeiten, sich vor Datenverlust auf diesem Weg zu schützen. Die Schlamperei sei bei den App-Entwicklern einfach zu weit verbreitet. Seine Kollegen hätten bislang „tausende anfällige Apps“ gefunden, das könne aber auch nur die Spitze eines Eisbergs sein. Aus Sicht der Endbenutzer schwierig sei es auch, zu entscheiden, welche Apps oder welche Arten von Apps bedenklich sind, da es keine einfach erkennbaren Anhaltspunkt gebe, ob eine App ein Backend-as-a-Service-Angebot nutzt oder nicht – und falls ja, ob dieser BaaS-Dienst sicher ist und die Datenübergabe korrekt geregelt wurde.
„Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen“, so Bodden in einer Pressemitteilung. „Allerdings zeigen unsere Forschungsergebnisse und die Problematik an sich, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist.“ Die Cloud-Anbieter seien bereits informiert und dazu aufgefordert worden, die App-Entwickler unter ihren Kunden auf das Problem hinzuweisen. „Sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen“, so Bodden.
[mit Material von Peter Marwan, ITespresso.de]
Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…