Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.699.191 Produkten

Fabian A. Scherschel 37

Eavesdropper: Entwickler-Schludrigkeit gefährdet hunderte Apps

Eavesdropper: Entwickler-Schludrigkeit gefährdet hunderte Mobile-Apps

API-Zugangsdaten im Quellcode einer betroffenen App

Bild: Appthority

Android- und iOS-Apps, welche das REST-API von Twilio einsetzen, geben unter Umständen vertrauliche Daten an Angreifer preis. Eine Sicherheitsfirma fand mehr als 680 solcher Apps, die einfach auszulesende Zugangsdaten verwenden und somit verwundbar sind.

Twilio bietet ein Middleware-API für Entwickler mobiler Apps an, mit dem man Messaging und Voice- sowie Video-Kommunikation in seine App einbinden kann. Eine Sicherheitsfirma hat nun die Umsetzung dieses REST-API in allerlei Apps unter die Lupe genommen und erschreckendes festgestellt: Laut der Untersuchung haben hunderte Apps entgegen den Hinweisen des API-Anbieters Anmelde-Credentials ungeschützt fest in ihren Apps verbaut. Das führt dazu, dass Unbefugte ohne viel Mühe auf den Inhalt sämtlicher über Twilio versendeter Daten zugreifen können.

Anzeige

Nach Einschätzung der Sicherheitsforscher ist das fatal. Sie gehen davon aus, dass viele Entwickler das API für wichtige Business-Daten verwenden und Angreifer so vertrauliche Informationen auslesen können. Ihrer Analyse zufolge sind 685 Apps betroffen, 44% davon auf Android und die restlichen 56% unter iOS. Insgesamt sind 85 Entwickler betroffen, die Twilio nutzen. Darunter ist eine App für sichere Kommunikation einer US-Bundes-Justizbehörde, Navigations-Apps für Kunden von AT&T und eine Messenger-App für Vetriebsmitarbeiter in großen Firmen. Alleine die betroffenen Android-Apps im Play Store wurden zusammen an die 180 Millionen Mal heruntergeladen.

Die Sicherheitsfirma Appthority hat die Lücke im April entdeckt und Twilio im Juli informiert. Die Lücke ist laut den Forschern einfach zu missbrauchen. Angreifer müssen lediglich eine verwundbare App finden, die Twilio verwendet und diese nach Credential-Strings durchsuchen. Mit diesen lässt sich dann ohne viel Mühe auf die Server-Daten der App zugreifen. App-Entwickler, deren Apps betroffen sind, sollten laut Appthority die Sicherheitslücke mit einem Update beheben und ihre API-Schlüssel zurücksetzen. (fab)

37 Kommentare

Themen:

Anzeige
  1. Sicherheitsforscher: Populäre iPhone-Apps schützen Login-Daten unzureichend

    HTTPS

    Über die Hälfte der am häufigsten heruntergeladenen iPhone- und iPad-Apps weisen einer Analyse zufolge Schwachstellen auf, die das Abgreifen von Zugangsdaten ermöglichen.

  2. Google schmeißt 500 potenzielle Spionage-Apps aus App Store

    Google schmeißt 500 potenzielle Spionage-Apps aus App Store

    Ein Software Development Kit für Werbeeinblendungen soll Schnüffelfunktionen mitbringen. Damit ausgestattete Android-Apps weisen über 100 Millionen Downloads auf, warnen Sicherheitsforscher.

  3. Apple entfernt im Iran beliebte Apps

    Apple entfernt im Iran beliebte Apps

    Einige der im Iran am weitesten verbreiteten iOS-Apps sind für die Bürger dort nicht mehr verfügbar. Apple sagt, es folge den US-Sanktionen gegen den Iran.

  4. 31 lückenhafte Banking-Apps: Forscher entlarven App-TAN-Verfahren abermals als unsicher

    Angriff auf 31 Onlinebanking-Apps: Forscher untermauern Unsicherheit des App-TAN-Verfahrens

    Sicherheitsforscher zeigen eine nicht ganz triviale Methode auf, über die Angreifer Online-Banking-Apps manipulieren könnten. Auch in Deutschland sind Banken betroffen.

  1. Zukunft der Webentwicklung: Webkomponenten und Progressive Web Apps, Teil 2

    Zukunft der Webentwicklung: Webkomponenten und Progressive Web Apps, Teil 2

    Bei Progressive Web Apps handelt es sich um Webanwendungen, die sich ähnlich wie ihre nativen Gegenstücke anfühlen. Davon kann insbesondere die App-Programmierung profitieren.

  2. Android-Backup: So gelingt die Datensicherung

    Apps, Fotos, Kontakte: Auf Ihrem Android-Smartphone lagern unzählige wichtige Daten. Wir zeigen, wie Sie ein Daten-Backup Ihres Handys anlegen.

  3. Die 10 besten Smart-TV-Apps

    Auf deinem Smart TV solltest du einige Apps unbedingt installieren! Wir zeigen dir die 10 besten Apps für deinen Fernseher.

  1. Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

    Behörden ignorieren Sicherheitsbedenken bei Windows 10

    Deutsche Behörden kaufen fleißig Software bei Microsoft. Dabei gibt es erhebliche Sicherheitsbedenken, die das US-Unternehmen wohl immer noch nicht ausräumen konnte. Unklar ist etwa, welche Daten an den Konzern fließen.

  2. Facebook will Anschriften von Werbekunden überprüfen – via Postkarte

    Facebook will Anschriften von Werbekunden überprüfen – via Postkarte

    Das Soziale Netzwerk will ausländische politische Einflussnahme auf Wahlen mit Hilfe der guten alten Post eindämmen.

  3. Twitter: ab sofort keine Mac-App mehr

    Twitter: ab sofort keine Mac-App mehr

    Das soziale Netzwerk will sich in Zukunft auf ein "konsistentes Anwender-Erlebnis" konzentrieren. Ein Entwickler alternativer Twitter-Apps reagiert mit Preisnachlass.

  4. Siemens-Chef Kaeser: Jobabbau nur Vorgeschmack auf Industrie-Wandel

    Siemens-Chef Kaeser: Jobabbau nur Vorgeschmack auf Industrie-Wandel

    Die Siemens-Beschäftigten laufen seit Wochen Sturm gegen den Jobabbau im Kraftwerksgeschäft. Doch der digitale Wandel schreitet voran - und auch bei anderen Unternehmen wird er massive Folgen haben, ist Konzernchef Kaeser überzeugt.

Anzeige