16.000 Android-Apps in Googles Play Store hat eine Sicherheitsfirma untersucht. Dabei entdeckten die Forscher als gefährlich für die Sicherheit einzustufende geheime Schlüssel in über 300 Anwendungen.

16.000 Android-Apps untersucht

Im November 2016 hatte die Sicherheitsfirma Fallible ein Code-Analysetool für Android-Apps aus Googles Play Store entwickelt. Damit wollten die Forscher – ursprünglich für interne Zwecke – Anwendungen nach geheimen Schlüsseln durchforsten, die eventuell eine Gefahr für die Sicherheit der Nutzer darstellen könnten. Das Tool stellten die Fallible-Forscher auch online zur Verfügung, so dass Nutzer ebenfalls Apps nach unerwünschten Codeschnipseln durchsuchen lassen konnten. Jetzt hat Fallible die Ergebnisse von 16.000 untersuchten Apps veröffentlicht – und die sind recht befremdlich.

Android-Apps mit (geheimen) Schlüsseln. (Grafik: Fallible)

Welche Apps genau untersucht wurden, gab Fallible nicht bekannt. Allerdings haben sich die Forscher bei der Auswahl an den populärsten Apps im Play Store orientiert. Demnach hatte die überwiegende Mehrzahl der untersuchten Apps zwar keine geheimen Schlüssel oder Schlüssel von Drittanbietern an Bord. Allerdings wurden bei knapp 2.500 Apps Schlüssel im Programmiercode gefunden. Einige der Schlüssel sind den Sicherheitsforschern zufolge harmlos, etwa Googles API-Key. Allerdings machte das Analysetool auch 304 Schlüssel aus, die definitiv nichts in den Apps zu suchen gehabt hätten, wie die Forscher betonten.

Deutliche Warnung an Android-App-Entwickler

So wurden geheime Schlüssel von Drittanbietern wie Uber, Twitter, Dropbox oder Amazons AWS gefunden, von denen einige weitreichende Möglichkeiten des Zugriffs auf Nutzer-Accounts gehabt hätten. Einige AWS-Schlüssel ermöglichten das Erstellen oder Löschen von Instanzen. Fallible wies App-Programmierer in einem Beitrag auf Hackernoon noch einmal deutlich darauf hin, genau zu überdenken, welche Schlüssel wirklich notwendig sind. Drittanbieter sollten App-Entwickler zudem davor warnen, ihre geheimen Schlüssel in App-Code einzubauen.

