Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.489 Produkten

Fabian A. Scherschel 39

Aus zehntausenden Android-Apps lassen sich die Passwörter der Entwickler auslesen

Aus zehntausenden Android-Apps lassen sich die Passwörter der Entwickler auslesen

Bild: BEST-BACKGROUNDS / Shutterstock.com

Passwörter, PGP-Schlüssel, Krypto-Keys und VPN-Zugangsdaten – in zehntausenden von Android-Apps finden sich Geheimnisse der Entwickler, die eigentlich nicht öffentlich zugänglich sein sollten.

Android-Apps sind eine gute Fundgrube für Passwörter und Krypto-Schlüssel von Entwicklern, zu diesem Schluss kommt ein Sicherheitsforscher auf der Sicherheitskonferenz BSides in San Francisco. Der Forscher hatte 1,8 Millionen Android-Apps heruntergeladen und nach entsprechenden Artefakten untersucht. In knapp 20.000 Apps wurde er fündig – demnach enthalten mehr als 1 Prozent aller kostenlosen Android-Apps Passwörter, Krypto-Schlüssel oder VPN-Zugangscodes. Kostenpflichtige Apps hat sich der CERT-Forscher Will Dormann allerdings nicht angeschaut; er habe nicht das Geld, sich Millionen von kostenpflichtigen Apps anzuschauen.

Anzeige

Dass Entwickler massenweise interne Geheimnisse auf Quellcode-Hosting-Plattformen wie GitHub veröffentlichen, ist schon länger bekannt. Zwar sind die Daten in Android-Apps schwerer zu finden, da Android-APKs in den meisten Fällen allerdings trivial auseinander zu nehmen sind, liegt auch das Durchsuchen von Apps im Bereich des Möglichen. Den schlimmsten Fall von Schludrigkeit, den Dormann im Zuge seiner Nachforschungen fand, war ein Entwickler, der nicht nur die eigenen Entwickler-Logins für die Andoid- und iOS-Entwicklerplattformen im Code seiner App veröffentlichte, sondern auch dessen Master-Passwort.

Der Sicherheitsforscher entdeckte allerdings auch Apps, bei denen eingebaute geheime Daten nicht aus Nachlässigkeit oder Faulheit im Code fest verankert waren. Manche Entwickler versuchten offensichtlich, diese Daten in Bildern oder zusätzlichen APK-Paketen zu verstecken – in diesen Fällen kann man eindeutig Absicht unterstellen. Auffällig war auch das Entwickler-Tool Appinventor, welches laut Dormann standardmäßig private Krypto-Schlüssel fest in den Quellcode verbaut. Und auch wenn Schlüssel in dafür vorgesehenen Krypto-Bibliotheken wie Bouncy Castle gespeichert werden, kommt es zu Problemen, wenn Entwickler schwache Master-Passwörter verwenden. Dem Sicherheitsforscher gelang es, viele dieser Master-Passwörter mit gängigen Passwort-Crackern herauszufinden.

tipps+tricks zum Thema:

(fab)

39 Kommentare

Themen:

Anzeige
  1. RedDrop: Android-Schädling verbreitet sich über chinesische Sites

    RedDrop: Android-Schädling verbreitet sich über chinesische Sites

    Der Schädling veranlasst kostenpflichtige SMS, kann das Mikrofon einschalten und auf dem Handy gespeicherte Daten klauen. Besonders unauffällig ist er dabei allerdings nicht, sodass wenig Gefahr von ihm ausgeht.

  2. Google hat 2017 mehr als 700.000 bösartige Apps aus Google Play verbannt

    Google hat 2017 700.000 bösartige Apps aus Google Play verbannt

    In einem Jahresbericht führt Google aus, wie sicher der eigene Android-App-Store Google Play doch ist. Aufgrund einiger Vorfälle wirkt die Argumentation stellenweise jedoch nicht ganz glaubwürdig.

  3. Trojaner-Apps mit 4,5 Millionen Downloads in Google Play entdeckt

    Trojaner-Apps mit 4,5 Millionen Downloads in Google Play entdeckt

    Sicherheitsforscher warnen vor mehreren mit Schadcode verseuchten Spiele-Apps im offiziellen App Store von Google.

  4. Smartphone-Apps zur Steuerung von Industrie-Anlagen sind voller Sicherheitslücken

    Smartphone-Apps zur Steuerung von Industrie-Anlagen sind voller Sicherheitslücken

    Das Ergebnis einer Untersuchung von mobilen Apps für industrielle Anwendungen ist beunruhigend: Insgesamt fanden sich in 34 Apps 147 Schwachstellen, die von Hackern zur Störung der Produktion ausgenutzt werden könnten.

  1. So nutzen Sie iCloud mit Android

    Apples iCloud ist komplett auf die Nutzung mit Apple-Hardware zugeschnitten. Doch mit den richtigen Kniffen nutzen Sie iCloud auch unter Android.

  2. Smart-TV-Sicherheit: So schützen Sie Ihren Fernseher

    Wenn Sie mehr über die Sicherheit von Smart-TVs erfahren möchten, dann lesen Sie unsere tipps+tricks zum Thema.

  3. Virenscanner für Android - brauche ich das?

    Immer wieder liest man von Android-Viren, die Smartphones und Tablets befallen. Wir verraten Ihnen, ob Sie einen Virenscanner für Android brauchen.

  1. Denkt an die Fische! PETA rügt Far Cry 5, weil man darin angeln kann

    Denkt an die Fische: PETA rügt Far Cry 5, weil man darin angeln kann

    Spiele wie Far Cry 5 dürfen in Deutschland nicht mehr auf den Markt kommen, fordert die Tierschutzorganisation PETA. Der Grund: Man kann darin angeln. Es ist nicht das erste Mal, dass PETA die Gaming-Community provoziert.

  2. Fahrbericht: Lamborghini Urus

    Lamborghini

    Er verspricht mit immerhin 650 PS reichlich Fahrdynamik, muss dabei allerdings auch ein Leergewicht von 2,2 Tonnen durch die Gegend wuchten. Er braucht Reifen, mit denen man bis zu 305 km/h fahren kann und soll trotzdem auch im Gelände überzeugen. Kann der Lamborghini Urus diese Widersprüche auflösen?

  3. Löschanlagen-Ton zerstört Festplatten in schwedischem Rechenzentrum

    Rechenzentrum

    Der extrem laute Ton einer Gaslöschanlage hat in einem Rechenzentrum in Schweden zahlreiche Festplatten beschädigt. Der Börsenhandel in Skandinavien war deshalb stundenlang beeinträchtigt.

  4. Kanadisches Gericht beharrt auf weltweiter Google-Zensur

    Canada Place

    Kanadische Gerichte verpflichten Google dazu, bestimmte Links aus dem Index zu löschen, und zwar weltweit. Die Verfügung widerspricht US-Recht, doch die kanadische Justiz bleibt hart.

Anzeige