Um private Daten richtig zu schützen, müssen Apps eigentlich ein Zugangskontrollschema implementieren. Die Tests zeigten allerdings, dass die große Mehrheit der Apps keine solche Zugangskontrolle verwendeten, schreiben die Sicherheitsforscher. Sie untersuchten insgesamt 750.000 Apps aus dem Google Play Store und dem Apple App Store.
Die wohl oft von den Entwicklern eingesetzte schwächste Form der Authentifizierung - eher dazu gedacht, Daten zu identifizieren als zu schützen - verwendet ein einfaches API-Token, eine in den App-Code eingebettete Nummer. Mit aktuellen Werkzeugen könnten Angreifer diese Token jedoch einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren, warnen die Sicherheitsforscher. Angreifer könnten zum Beispiel E-Mail-Adressen auf dem Schwarzmarkt verkaufen, Nutzer erpressen, Webseiten verändern oder Schadcode einschleusen, um Malware zu verbreiten oder Botnetze aufzubauen.
Die Wissenschaftler haben ihre Erkenntnisse bereits den betroffenen Cloud-Anbietern und dem Bundesamt für Sicherheit in der Informationstechnologie gemeldet.