Die Sicherheitsexperten Tommy Dong und Yuanjing Guo haben gravierende Sicherheitslücken in 13 Apps entdeckt. Ihren Fund dokumentieren die beiden Symantec-Mitarbeiter in einem langen Bericht. Im Gegensatz zu vielen Fällen, in denen Apps mit Malware infiziert wurden, geht die Gefahr hier direkt von der – eigentlich harmlosen – App aus.
So kommt es zur Sicherheitslücke bei 13 Android- und iOS-Apps
Das Problem bei den betroffenen Apps ist, dass sie nicht ausreichend sicher programmiert wurden. Im Code der Anwendungen finden sich Login-Daten zu Backend-Diensten wie AWS und Microsoft Azure. Als Beispiel nennen die Sicherheitsexperten etwa die mehr als fünf Millionen Mal heruntergeladene Android-App Pic Stitch.
Sie haben sich den Code der App genauer angeschaut und mit wenigen Schritten die Login-Daten für den AWS-Server gefunden, den die Entwickler:innen für ihre App nutzen. Dazu zählten Login-Name sowie Keys für Lese- und Schreibzugriff und sogar geheime Zugangsschlüssel. Ein anderes Beispiel ist die iOS-App Crumbl. Hier findet sich im Code ein API-Gateway, das direkt zu den IoT-Diensten von AWS führt. Mit den Login-Daten, die sich ebenfalls im Code finden, können Angreifer:innen sich problemlos ins Backend einloggen.
Im Bericht der beiden Sicherheitsexperten heißt es weiter: „Diese gefährliche Praxis bedeutet, das jeder, der Zugriff auf die Binärdatei oder den Quellcode der App hat, potenziell diese Login-Daten extrahieren und sie missbrauchen kann, um Daten zu manipulieren oder zu stehlen – was zu schweren Datenpannen führen kann.“
Diese Apps sind von der Sicherheitslücke betroffen
Folgende Android-Apps sind von der Sicherheitslücke im Code betroffen:
- Pic Stitch (mehr als fünf Millionen Downloads)
- Meru Cabs (mehr als fünf Millionen Downloads)
- Sulekha Business-List (mehr als 500.000 Downloads)
- ReSound Tinnitus Relief (mehr 500.000 Downloads)
- Saludsa (mehr als 100.000 Downloads)
- Chola Ms Break In (mehr als 100.000 Downloads)
- EatSleepRide Motorcycle GPS (mehr als 100.000 Downloads)
- Beltone Tinnitus Calmer (mehr als 100.000 Downloads)
Dazu kommen noch einige iOS-Anwendungen, die ebenfalls Zugänge im Code haben:
- Crumbl (mehr als 4,3 Millionen Bewertungen)
- Eureka: Earn money for surveys (mehr als 400.000 Bewertungen)
- Videoshop – Video Editor (mehr als 350.000 Bewertungen)
- Solitaire Clash (mehr als 240.000 Bewertungen)
- Zap Surveys – Earn Easy Money (mehr als 230.000 Bewertungen)
Die schlimmsten Security-Patzer
Solltet ihr die Apps sofort löschen?
Zunächst geht von den Apps keine direkte Gefahr aus. Ihr müsst sie also nicht löschen, um euer Gerät vor Angriffen zu schützen. Allerdings könnten eure Daten in Gefahr sein, die ihr für die Anmeldung in den Anwendungen genutzt habt. Auch wenn ihr die App von eurem Smartphone löscht, könnten diese Daten – zumindest zeitweise – auf den Servern der Entwickler:innen verbleiben.
Wirklich sicher sind diese Daten nur, wenn die Verantwortlichen entsprechende Anpassungen im Code vornehmen. Dafür geben die Sicherheitsexperten bei Symantec einige Tipps. So sollten die App-Entwickler:innen etwa die Tools von Amazon und Microsoft nutzen, um Login-Daten sicher und verschlüsselt zu speichern. Zudem sollten Daten von Nutzer:innen ebenfalls verschlüsselt werden.
Habt ihr eine der Apps installiert und darin einen Account erstellt, solltet ihr Sicherheitsmaßnahmen ergreifen. Nutzt ihr das Passwort noch für andere Dienste, ändert es überall ab. Dabei kann euch auch ein Passwortmanager helfen. Wollt ihr noch sicherer sein, solltet ihr die für die Apps genutzte E-Mail-Adresse künftig nicht mehr verwenden. Erstellt euch stattdessen eine neue E-Mail-Adresse und gebt sie überall dort ein, wo ihr die alte Adresse genutzt habt. Das ist zwar etwas Arbeit, aber sorgt dafür, dass mögliche Angreifer:innen weniger mit euren Daten anfangen können.
