Forscher: 56 Millionen Datensätze liegen ungeschützt in Cloud-Datenbanken

Die Technische Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie SIT haben Cloud-Datenbanken wie Facebooks Parse und Amazon Web Services untersucht und dabei rund 56 Millionen ungeschützter Datensätze entdeckt. Die Forscher fanden E-Mail-Adressen, Passwörter, Gesundheitsdaten und andere sensible Informationen von App-Benutzern, die damit ungeschützt dem Zugriff Dritter ausgesetzt sind. Es drohen Identitätsdiebstahl und andere Cyberverbrechen.

Nach Angaben der TU Darmstadt landeten die vertraulichen Informationen in den Cloud-Datenbanken, weil diese gerne von App-Entwicklern als Backend-as-a-Service (BaaS) verwendet werden, um Nutzerdaten zu speichern. Aus ihrer Sicht ist das praktisch, da dies eine günstige, leicht ausbaubare, flexible und im Vergleich zu selbst betriebenen Plattformen stabile Möglichkeit darstellt. Außerdem macht es die Synchronisation einfacher, beispielsweise zwischen Android- und iOS-Apps.

Offenbar berücksichtigen dabei aber viele Entwickler die Sicherheitsempfehlungen der Cloud-Anbieter nicht oder setzen sie nicht korrekt und in vollem Umfang um. Tests der Forscher mit dem von ihnen bereits 2014 vorgestellten Analyse-Framework „Fraunhofer Appicaptor“ hätten gezeigt, dass die große Mehrheit der untersuchten 750.000 Apps, die sowohl aus dem Google Play Store als auch dem Apple App Store stammen, keine Zugangskontrollen verwendet.

Wie die Forscher erklären, bieten Cloud-Betreiber mehrere Authentifizierungsmethoden an. Die schwächste Form verwendet ein sogenanntes API-Token, also eine in den App-Code eingebettete Nummer. Dieses Token lasse sich von Angreifern jedoch „einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren.“

Nutzerdaten landen oft ungewollt in der Cloud, weil App-Entwickler bei der Authentifizierung schlampen (Grafik: Fraunhofer SIT).Das Interesse der Angreifer: Die auf diese Weise abgegriffenen E-Mail-Adressen lassen sich zum Beispiel auf dem Schwarzmarkt verkaufen. Ist noch mehr kriminelle Energie vorhanden, ist auch denkbar, dass Nutzer erpresst, Webseiten verändert oder Schadprogramme eingeschleust werden, um Malware zu verbreiten oder Botnetze aufzubauen.

Wie Professor Eric Bodden vom Fraunhofer SIT auf einer FAQ-Seite erklärt, haben Anwender derzeit wenig Möglichkeiten, sich vor Datenverlust auf diesem Weg zu schützen. Die Schlamperei sei bei den App-Entwicklern einfach zu weit verbreitet. Seine Kollegen hätten bislang „tausende anfällige Apps“ gefunden, das könne aber auch nur die Spitze eines Eisbergs sein. Aus Sicht der Endbenutzer schwierig sei es auch, zu entscheiden, welche Apps oder welche Arten von Apps bedenklich sind, da es keine einfach erkennbaren Anhaltspunkt gebe, ob eine App ein Backend-as-a-Service-Angebot nutzt oder nicht – und falls ja, ob dieser BaaS-Dienst sicher ist und die Datenübergabe korrekt geregelt wurde.

„Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen“, so Bodden in einer Pressemitteilung. „Allerdings zeigen unsere Forschungsergebnisse und die Problematik an sich, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist.“ Die Cloud-Anbieter seien bereits informiert und dazu aufgefordert worden, die App-Entwickler unter ihren Kunden auf das Problem hinzuweisen. „Sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen“, so Bodden.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.