Apps Sicherheit: Programmierer gefährden Android Nutzer

Ermittlung problematischer Lücken

Die Untersuchungen hatte das US-Unternehmen Fallible durchgeführt, wie winfuture.de erläuterte. Das Unternehmen hatte insgesamt rund 16.000 Anwendungen für das Google-System durch ein automatisiertes Reverse Engineering geschickt und konnte dabei problematische Lücken feststellen. So war es unter anderem möglich 304 Keys aus der Software herauszulösen. Eine gute Basis für Angreifer Türen zu sensiblen Bereichen der App-Infrastruktur öffnen. Obwohl die Apps nicht konkret benannt wurden, sollen dem Vernehmen nach die Charts des Play Stores eine Rolle gespielt haben.

In den untersuchten Fällen waren ca. 2.500 mehr oder weniger sensible Informationen enthalten. Besonders brisant waren diejenigen, in denen die Programmierer die Keys für den Zugang zu Amazons AWS-Diensten fest in den Code eingebaut hatten. Einem Zugriff mit vollen Rechten auf die Infrastruktur sowie der Manipulation an Cloud-Instanzen sei damit Tür und Tor geöffnet.

Schaden für Software-Projekte

Neben dem Ausspähen von Nutzerdaten bieten die gefundenen Lücken auch die Möglichkeit, die Software-Projekte selbst erheblich zu schädigen. Das könnte zum Beispiel über Manipulation in der Cloud erfolgen. Konkret könnte das bedeuten, wenn ein Anwendungsteil der in der Cloud läuft gelöscht wird, kann eine App nicht mehr funktionieren, sie wäre für Anwender nicht mehr nutzbar. Im Ergebnis wendet der Nutzer sich ab.

Laut Fallible ist es dringend notwendig, Abhilfe für derartige Probleme zu schaffen. Das Ganze wird unter zwei Aspekten gesehen:

• In erster Linie sei es natürlich Aufgabe der Programmierer, darauf zu achten, dass sie nicht aus Bequemlichkeit API-Keys oder Tokens fest in ihren Code integrieren.
• Auch Anbieter von Cloud-Diensten müssen ihren Teil dazu beitragen, die Entwickler besser aufzuklären.