Categories: MobileMobile Apps

Kaspersky: Werbe-SDKs für mobile Apps geben unverschlüsselte Nutzerdaten preis

Kaspersky Lab hat herausgefunden, dass einige weit verbreitete mobile Anwendungen Nutzerdaten unverschlüsselt übertragen. Verantwortlich dafür sind allerdings nicht die Apps selbst, sondern unsichere Software Development Kits (SDKs) für Werbeanzeigen.

Werbung ist für viele Anbieter kostenloser Apps die einzige Einnahmequelle, um die Kosten für Entwicklung, Support und Betrieb einer mobilen Anwendung decken zu können. SDKs wiederum sind eine einfache Möglichkeit, Anzeigen in eine App einzubinden.

Diese Tools, die oftmals kostenlos von Dritten bereitgestellt werden, sammeln Nutzerdaten, um relevante und zielgerichtete Anzeigen einzublenden. Sind die SDKs nicht sicher, können sie die Sicherheit der gesamten App kompromittieren.

Kaspersky zufolge werden Nutzerdaten oft ungesichert und unverschlüsselt per HTTP an die Server der Werbeplattformen übertragen. „Sie sammeln Nutzerdaten, um relevante Werbung anzuzeigen, schützen die Daten aber oft nicht während der Übermittlung an ihre Server“, sagte Kaspersky-Forscher Roman Unuchek. „Abgefangene Daten können verändert werden, was dazu führen kann, dass die App schädliche anstatt legitimer Werbung anzeigt. Nutzer werden dann zum Download einer beworbenen App verleitet, die sich als Malware herausstellt.“

Welche Apps betroffen sind, teilte Kaspersky Lab nicht mit. Es soll sich jedoch um Anwendungen mit mehreren Millionen Installationen weltweit handeln. Daten wie Namen, Alter, Geschlecht, Telefonnummern, E-Mail-Adressen, Geräteinformationen und Standortdaten werden an Domains von Werbenetzwerken wie mopub.com, rayjump.com, tappas.net, nexage.com und appsgeyser.com übertragen.

Anfänglich sei Kaspersky davon ausgegangen, dass es sich nur wenige Beispiele „nachlässiger App-Entwicklung“ handele. Das gesamte Ausmaß des Problems sei jedoch „überwältigend“. „Millionen von Anwendungen enthalten Drittanbieter-SDKs, die private Daten preisgeben, die sich leicht abfangen und verändern lassen – was zu Malware-Infektionen, Erpressung und anderen sehr effektiven Angriffsvektoren auf diese Geräten führen kann“, ergänzte Unuchek.

Grundsätzlich hätten inzwischen mehr als 60 Prozent aller mobilen Apps ihre Kommunikation auf sicheres HTTP (HTTPS) umgestellt. 90 Prozent dieser Apps verwendeten für einzelne Prozesse jedoch immer noch ungesichertes HTTP. Es liege nun an den Entwicklern, vollständig auf HTTPS umzusteigen und zum Schutz der Privatsphäre der Nutzer für jegliche Kommunikation eine Verschlüsselung zu aktivieren.

Bis dahin sollten Nutzer die Berechtigungen im Auge behalten, die sie einer App gewähren. Zudem sollten sie die Nutzung einer VPN-Verbindung in Betracht ziehen, um den Datenverkehr zwischen ihren Geräten und Servern zu schützen.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

8 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

8 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

1 Tag ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

1 Tag ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

1 Tag ago

November-Patchday: Microsoft schließt Zero-Day-Lücken in Windows

Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…

1 Tag ago