Ermittlung problematischer Lücken
Die Untersuchungen hatte das US-Unternehmen Fallible durchgeführt, wie winfuture.de erläuterte. Das Unternehmen hatte insgesamt rund 16.000 Anwendungen für das Google-System durch ein automatisiertes Reverse Engineering geschickt und konnte dabei problematische Lücken feststellen. So war es unter anderem möglich 304 Keys aus der Software herauszulösen. Eine gute Basis für Angreifer Türen zu sensiblen Bereichen der App-Infrastruktur öffnen. Obwohl die Apps nicht konkret benannt wurden, sollen dem Vernehmen nach die Charts des Play Stores eine Rolle gespielt haben.
In den untersuchten Fällen waren ca. 2.500 mehr oder weniger sensible Informationen enthalten. Besonders brisant waren diejenigen, in denen die Programmierer die Keys für den Zugang zu Amazons AWS-Diensten fest in den Code eingebaut hatten. Einem Zugriff mit vollen Rechten auf die Infrastruktur sowie der Manipulation an Cloud-Instanzen sei damit Tür und Tor geöffnet.
Schaden für Software-Projekte
Neben dem Ausspähen von Nutzerdaten bieten die gefundenen Lücken auch die Möglichkeit, die Software-Projekte selbst erheblich zu schädigen. Das könnte zum Beispiel über Manipulation in der Cloud erfolgen. Konkret könnte das bedeuten, wenn ein Anwendungsteil der in der Cloud läuft gelöscht wird, kann eine App nicht mehr funktionieren, sie wäre für Anwender nicht mehr nutzbar. Im Ergebnis wendet der Nutzer sich ab.
Laut Fallible ist es dringend notwendig, Abhilfe für derartige Probleme zu schaffen. Das Ganze wird unter zwei Aspekten gesehen:
- In erster Linie sei es natürlich Aufgabe der Programmierer, darauf zu achten, dass sie nicht aus Bequemlichkeit API-Keys oder Tokens fest in ihren Code integrieren.
- Auch Anbieter von Cloud-Diensten müssen ihren Teil dazu beitragen, die Entwickler besser aufzuklären.
Weiterführende Links:
Smartphone-Schnüffelei: Apps – kleine Helferlein und gierige Datensammler zugleich
hackernoon.com: We reverse engineered 16k apps, here’s what we found
winfuture.de: Zahlreiche Android-Apps bergen recht pikante Details