Datenleck in Apps: Millionen von Nutzern bedroht

E-Mail-Adressen verkaufen, Nutzer erpressen, Webseiten verändern oder Schadcode einschleusen: Weil App-Entwickler Datensätze in der Cloud nur unzureichend absichern, machen sie das Handwerk der Cyberkriminellen besonders einfach.

Entwickler von Apps verwenden zur Speicherung von Nutzerdaten kein eigenes Storage sondern greifen auf Dienste wie Amazon AWS oder Facebook Parse zurück. Dagegen ist eigentlich nichts einzuwenden, allerdings liegen viele dieser sensiblen Daten völlig unzureichend geschützt in diesen Cloud-Speichern und können von Hackern sehr leicht abgegriffen werden. Denn dem Schutz persönlicher Daten der App-Nutzer räumen die Entwickler offensichtlich keine große Priorität ein. Die Technische Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie SIT haben Cloud-Datenbanken untersucht und 56 Millionen ungeschützte Datensätze gefunden. Die Forscher fanden E-Mail-Adressen, Passwörter, Gesundheitsdaten und andere sensible Informationen von App-Benutzern, die leicht gestohlen und manipuliert werden können.

Viele Nutzerkonten sind daher durch Identitätsdiebstahl und andere Internetverbrechen bedroht. Viele Smartphone-Apps speichern Nutzerinformationen in Cloud-Datenbanken, um zum Beispiel die Synchronisation zwischen Android- und iOS-Apps zu vereinfachen. Cloud-Betreiber bieten – je nach Sensibilität der Daten – verschiedene Authentifizierungsmethoden hierfür an. Die schwächste Form der Authentifizierung, eher dazu gedacht, Daten zu identifizieren als zu schützen, verwendet ein einfaches API-Token, eine in den App-Code eingebettete Nummer. Mit aktuellen Werkzeugen können Angreifer diese Token jedoch einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren. Angreifer können so zum Beispiel E-Mail-Adressen auf dem Schwarzmarkt verkaufen, Nutzer erpressen, Webseiten verändern oder Schadcode einschleusen, um Malware zu verbreiten oder Botnetze aufzubauen. Um private Daten richtig zu schützen, müssen Apps ein Zugangskontrollschema implementieren.

Die Tests zeigten allerdings, dass die große Mehrheit der Apps keine solche Zugangskontrolle verwendet. Die Wissenschaftler untersuchten 750.000 Apps aus dem Google Play Store und dem Apple App Store. Dazu verwendeten sie intern entwickelte Analyse-Frameworks wie etwa den Fraunhofer Appicaptor. Mit Hilfe dieser Expertenwerkzeuge konnten die Forscher Apps identifizieren, die eine schwache Authentifizierung nutzen und führten eine Tiefenanalyse ausgewählter Apps durch. Während dieser Untersuchungen stellte sich heraus, dass viele Datenfelder private Informationen wie verifizierte E-Mail-Adressen, komplette Benutzernamen oder gar Informationen zu psychischen Krankheiten enthielten.

Die Wissenschaftler informierten umgehend die Cloud-Anbieter sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auch die leichtsinnigen App-Entwickler wurden mit Hilfe von Amazon und Facebook über ihre nicht ausreichend geschützten Daten in den Cloud-Speichern in Kenntnis gesetzt.

Grundschutz für jeden PC: Antivirenschutz und Internet-Security.

Bildquelle: Windorias / www.pixelio.de

Die mit einem * markierten Felder sind Pflichtfelder.