Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.733.931 Produkten

Fabian A. Scherschel 39

Aus zehntausenden Android-Apps lassen sich die Passwörter der Entwickler auslesen

Aus zehntausenden Android-Apps lassen sich die Passwörter der Entwickler auslesen

Bild: BEST-BACKGROUNDS / Shutterstock.com

Passwörter, PGP-Schlüssel, Krypto-Keys und VPN-Zugangsdaten – in zehntausenden von Android-Apps finden sich Geheimnisse der Entwickler, die eigentlich nicht öffentlich zugänglich sein sollten.

Android-Apps sind eine gute Fundgrube für Passwörter und Krypto-Schlüssel von Entwicklern, zu diesem Schluss kommt ein Sicherheitsforscher auf der Sicherheitskonferenz BSides in San Francisco. Der Forscher hatte 1,8 Millionen Android-Apps heruntergeladen und nach entsprechenden Artefakten untersucht. In knapp 20.000 Apps wurde er fündig – demnach enthalten mehr als 1 Prozent aller kostenlosen Android-Apps Passwörter, Krypto-Schlüssel oder VPN-Zugangscodes. Kostenpflichtige Apps hat sich der CERT-Forscher Will Dormann allerdings nicht angeschaut; er habe nicht das Geld, sich Millionen von kostenpflichtigen Apps anzuschauen.

Anzeige

Dass Entwickler massenweise interne Geheimnisse auf Quellcode-Hosting-Plattformen wie GitHub veröffentlichen, ist schon länger bekannt. Zwar sind die Daten in Android-Apps schwerer zu finden, da Android-APKs in den meisten Fällen allerdings trivial auseinander zu nehmen sind, liegt auch das Durchsuchen von Apps im Bereich des Möglichen. Den schlimmsten Fall von Schludrigkeit, den Dormann im Zuge seiner Nachforschungen fand, war ein Entwickler, der nicht nur die eigenen Entwickler-Logins für die Andoid- und iOS-Entwicklerplattformen im Code seiner App veröffentlichte, sondern auch dessen Master-Passwort.

Der Sicherheitsforscher entdeckte allerdings auch Apps, bei denen eingebaute geheime Daten nicht aus Nachlässigkeit oder Faulheit im Code fest verankert waren. Manche Entwickler versuchten offensichtlich, diese Daten in Bildern oder zusätzlichen APK-Paketen zu verstecken – in diesen Fällen kann man eindeutig Absicht unterstellen. Auffällig war auch das Entwickler-Tool Appinventor, welches laut Dormann standardmäßig private Krypto-Schlüssel fest in den Quellcode verbaut. Und auch wenn Schlüssel in dafür vorgesehenen Krypto-Bibliotheken wie Bouncy Castle gespeichert werden, kommt es zu Problemen, wenn Entwickler schwache Master-Passwörter verwenden. Dem Sicherheitsforscher gelang es, viele dieser Master-Passwörter mit gängigen Passwort-Crackern herauszufinden.

tipps+tricks zum Thema:

(fab)

39 Kommentare

Themen:

Anzeige
  1. RedDrop: Android-Schädling verbreitet sich über chinesische Sites

    RedDrop: Android-Schädling verbreitet sich über chinesische Sites

    Der Schädling veranlasst kostenpflichtige SMS, kann das Mikrofon einschalten und auf dem Handy gespeicherte Daten klauen. Besonders unauffällig ist er dabei allerdings nicht, sodass wenig Gefahr von ihm ausgeht.

  2. Google hat 2017 mehr als 700.000 bösartige Apps aus Google Play verbannt

    Google hat 2017 700.000 bösartige Apps aus Google Play verbannt

    In einem Jahresbericht führt Google aus, wie sicher der eigene Android-App-Store Google Play doch ist. Aufgrund einiger Vorfälle wirkt die Argumentation stellenweise jedoch nicht ganz glaubwürdig.

  3. Trojaner-Apps mit 4,5 Millionen Downloads in Google Play entdeckt

    Trojaner-Apps mit 4,5 Millionen Downloads in Google Play entdeckt

    Sicherheitsforscher warnen vor mehreren mit Schadcode verseuchten Spiele-Apps im offiziellen App Store von Google.

  4. Smartphone-Apps zur Steuerung von Industrie-Anlagen sind voller Sicherheitslücken

    Smartphone-Apps zur Steuerung von Industrie-Anlagen sind voller Sicherheitslücken

    Das Ergebnis einer Untersuchung von mobilen Apps für industrielle Anwendungen ist beunruhigend: Insgesamt fanden sich in 34 Apps 147 Schwachstellen, die von Hackern zur Störung der Produktion ausgenutzt werden könnten.

  1. So nutzen Sie iCloud mit Android

    Apples iCloud ist komplett auf die Nutzung mit Apple-Hardware zugeschnitten. Doch mit den richtigen Kniffen nutzen Sie iCloud auch unter Android.

  2. Smart-TV-Sicherheit: So schützen Sie Ihren Fernseher

    Wenn Sie mehr über die Sicherheit von Smart-TVs erfahren möchten, dann lesen Sie unsere tipps+tricks zum Thema.

  3. Virenscanner für Android - brauche ich das?

    Immer wieder liest man von Android-Viren, die Smartphones und Tablets befallen. Wir verraten Ihnen, ob Sie einen Virenscanner für Android brauchen.

  1. Erste Ausfahrt: Mercedes A 200

    Mercedes A-Klasse

    Die vierte A-Klasse ist ein hervorragendes Auto geworden, wie eine erste Ausfahrt zeigt. Eindrucksvoll ist der Vorsprung im Bereich Infotainment. Ein Modell für die breite Masse ist es aber nicht, denn Mercedes langt selbst für Kleinigkeiten heftig zu

  2. Batteriesystem und Ladestrategie beim Audi e-tron

    Audi e-tron

    Der erste rein elektrische Audi hat eine Batterie mit großer Kapazität. Und er kann sehr schnell laden. Wie das Konzept im Detail funktioniert, haben die Ingenieure des e-tron jetzt in einem Workshop erklärt: Das unausgesprochene Ziel ist, einen neuen Maßstab zu setzen und Tesla zu übertreffen

  3. Geladene vs getankte Kilowattstunden

    alternative Antriebe, Elektroautos

    In meinem 40-Liter-Benzintank gebiete ich über gut 360 kWh Energie – was also darf ich dann von einem 35-kWh-Akku im neuen e-Golf erwarten? An jeder Raststätte eine Stunde Kaffee trinken neben der Ladesäule? Vergleichende Betrachtungen zum Energieverbrauch von Benzin- und Elektroautos

  4. Google will mit "Chat" die SMS ersetzen und pausiert die Entwicklung von "Allo"

    Google will mit "Chat" die SMS ersetzen und pausiert die Entwicklung von "Allo"

    Die Chat-App "Allo" ist ein Flop, deshalb hat Google die Entwicklung vorerst pausiert. Die Zukunft gehört dem RCS-Standard: Unter dem simplen Namen "Chat" soll er bald die SMS ersetzen.

Anzeige