+43 699 / 18199463
office@itexperst.at

Wo haben Sie den Schlüssel nochmal hingelegt?

Ein selbstentwickelter Crawler von Forschern der Columbia University fand heraus, dass in tausenden von Android-Apps im Google Play Store der geheime Schlüssel der Entwickler in der App gespeichert ist. Dies betrifft auch Apps von Entwicklern, die von Google Play als „Top-Entwickler“ gekennzeichnet wurden.

Der PlayDrone genannte Crawler schlüpfte unbemerkt an Google Plays Sicherheitsschranken vorbei und lud mehr als 1,1 Millionen Android-Apps herunter. Außerdem dekompilierte er rund 880.000 kostenlose Apps. Ziel: Die Überprüfung der Sicherheit des Stores und der Apps.

Jason Nieh, Informatik-Professor an der Columbia University:

„Google Play beinhaltet mehr als eine Million Apps und mehr als 50 Milliarden App-Downloads. Aber keiner überprüft, was in Google Play geladen wird – jeder kann für 25 US-Dollar einen Account erstellen und alles Mögliche hochladen. Nur wenig ist darüber bekannt, was auf aggregierter Ebene dort verfügbar ist. Aufgrund der Beliebtheit von Google Play und den potenzielle Risiken für Millionen von Nutzern dachten wir, ein prüfender Blick auf den Inhalt sei angebracht.“

PlayDrone fand außerdem ein Performance-Problem und stellte fest, dass rund ein Viertel der kostenlosen Apps Duplikate sind.

Das größte Problem stellen jedoch die tausenden geheimen Zutrittsschlüssel, die in den Apps enthalten sind, dar. Angreifer könnten diese nutzen, um zum Beispiel Daten von Facebook oder Amazon zu stehlen. PhD-Kandidat Nicolas Viennot:

„Wir haben eng mit Google, Amazon, Facebook und anderen Anbietern zusammengearbeitet, um potenziell gefährdete Kunden zu identifizieren und zu kontaktieren. Google nutzt jetzt unsere Technologie, um Apps proaktiv zu scannen und somit dieses Problem in Zukunft zu vermeiden.“

Google informiert derzeit auch die Entwickler über die Erkenntnisse und fordert sie auf, die Schlüssel zu entfernen.

Die Forscher um PlayDrone machten somit einen massiven Mangel an Überprüfung seitens Google publik. Jonathan Sander von StealthBits Technologies dazu:

„PlayDrone hat gezeigt, dass viele Entwickler die eigentlich geheimen Schlüssel wie ein Post-it am Desktop gesichert hatten – im Vertrauen darauf, dass die Bürotür verschlossen ist. Mit diesem Schlüssel könnten Angreifer in das System eindringen und Daten stehlen oder sogar größeren Schaden anrichten. Vermutlich machte das Speichern der Schlüssel in der Software die Verbreitung der Software für die Entwickler einfacher.“

Praktisch gesehen ist dies aber so sicher wie das „Verstecken“ des Hausschlüssels unter der Fußmatte.

Artikel von arstechnica.com, 19.06.2014: Secret keys stashed in Google Play apps pose risk to Android users, developers
Artikel von darkreading.com, 19.06.2014: Google Play Apps Expose Users To Attack

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen