Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 37

Eavesdropper: Entwickler-Schludrigkeit gefährdet hunderte Apps

Eavesdropper: Entwickler-Schludrigkeit gefährdet hunderte Mobile-Apps

API-Zugangsdaten im Quellcode einer betroffenen App

Bild: Appthority

Android- und iOS-Apps, welche das REST-API von Twilio einsetzen, geben unter Umständen vertrauliche Daten an Angreifer preis. Eine Sicherheitsfirma fand mehr als 680 solcher Apps, die einfach auszulesende Zugangsdaten verwenden und somit verwundbar sind.

Twilio bietet ein Middleware-API für Entwickler mobiler Apps an, mit dem man Messaging und Voice- sowie Video-Kommunikation in seine App einbinden kann. Eine Sicherheitsfirma hat nun die Umsetzung dieses REST-API in allerlei Apps unter die Lupe genommen und erschreckendes festgestellt: Laut der Untersuchung haben hunderte Apps entgegen den Hinweisen des API-Anbieters Anmelde-Credentials ungeschützt fest in ihren Apps verbaut. Das führt dazu, dass Unbefugte ohne viel Mühe auf den Inhalt sämtlicher über Twilio versendeter Daten zugreifen können.

Nach Einschätzung der Sicherheitsforscher ist das fatal. Sie gehen davon aus, dass viele Entwickler das API für wichtige Business-Daten verwenden und Angreifer so vertrauliche Informationen auslesen können. Ihrer Analyse zufolge sind 685 Apps betroffen, 44% davon auf Android und die restlichen 56% unter iOS. Insgesamt sind 85 Entwickler betroffen, die Twilio nutzen. Darunter ist eine App für sichere Kommunikation einer US-Bundes-Justizbehörde, Navigations-Apps für Kunden von AT&T und eine Messenger-App für Vetriebsmitarbeiter in großen Firmen. Alleine die betroffenen Android-Apps im Play Store wurden zusammen an die 180 Millionen Mal heruntergeladen.

Die Sicherheitsfirma Appthority hat die Lücke im April entdeckt und Twilio im Juli informiert. Die Lücke ist laut den Forschern einfach zu missbrauchen. Angreifer müssen lediglich eine verwundbare App finden, die Twilio verwendet und diese nach Credential-Strings durchsuchen. Mit diesen lässt sich dann ohne viel Mühe auf die Server-Daten der App zugreifen. App-Entwickler, deren Apps betroffen sind, sollten laut Appthority die Sicherheitslücke mit einem Update beheben und ihre API-Schlüssel zurücksetzen. (fab)

37 Kommentare

Themen:

Anzeige
  1. Sicherheitsforscher: Populäre iPhone-Apps schützen Login-Daten unzureichend

    HTTPS

    Über die Hälfte der am häufigsten heruntergeladenen iPhone- und iPad-Apps weisen einer Analyse zufolge Schwachstellen auf, die das Abgreifen von Zugangsdaten ermöglichen.

  2. Google schmeißt 500 potenzielle Spionage-Apps aus App Store

    Google schmeißt 500 potenzielle Spionage-Apps aus App Store

    Ein Software Development Kit für Werbeeinblendungen soll Schnüffelfunktionen mitbringen. Damit ausgestattete Android-Apps weisen über 100 Millionen Downloads auf, warnen Sicherheitsforscher.

  3. Apple entfernt im Iran beliebte Apps

    Apple entfernt im Iran beliebte Apps

    Einige der im Iran am weitesten verbreiteten iOS-Apps sind für die Bürger dort nicht mehr verfügbar. Apple sagt, es folge den US-Sanktionen gegen den Iran.

  4. Android Instant Apps SDK 1.1. veröffentlicht

    Android Instant Apps SDK 1.1. veröffentlicht

    Google veröffentlicht ein Update für das Software Development Kit von Android Instant Apps. Im Fokus stehen die Einführung von Konfigurationspaketen, die die Größe von Instant Apps auf das verwendete Endgerät anpassen sollen.

  1. Zukunft der Webentwicklung: Webkomponenten und Progressive Web Apps, Teil 2

    Zukunft der Webentwicklung: Webkomponenten und Progressive Web Apps, Teil 2

    Bei Progressive Web Apps handelt es sich um Webanwendungen, die sich ähnlich wie ihre nativen Gegenstücke anfühlen. Davon kann insbesondere die App-Programmierung profitieren.

  2. Die 10 besten Smart-TV-Apps

    Auf deinem Smart TV solltest du einige Apps unbedingt installieren! Wir zeigen dir die 10 besten Apps für deinen Fernseher.

  3. Progressive Web Apps, Teil 5: Das App-Modell der Zukunft?

    Eine mit Cordova und Electron umgesetzte Cross-Platform-Lösung

    In den vergangenen Teilen dieser Serie haben wir uns mit den wichtigsten Features der Progressive Web Apps beschäftigt. Stellen sie das App-Modell der Zukunft dar? Die Antwort hängt am Engagement eines Plattformanbieters.

  1. Sicherheitslücke in HP-Druckern – Firmware-Updates stehen bereit

    Hewlett-Packard-Logo

    Unter Verwendung spezieller Malware können Angreifer aus der Ferne auf Drucker von HP zugreifen und dort unter anderem gerätespezifische Befehle ausführen. Der Hersteller hat Updates bereitgestellt und empfiehlt die umgehende Aktualisierung.

  2. Mini tritt bei der Dakar-Rallye 2018 mit Allrad- und Hinterradantrieb an

    Mini

    Am 6. Januar 2018 startet in Lima die 40. Rallye Dakar. Mini wird die Rallye erstmals mit zwei konzeptionell komplett unterschiedlichen Fahrzeugtypen bestreiten. Zum Allradler kommt ein Buggy mit Hinterradantrieb

Anzeige