Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

App-Sicherheit: Forscher entdecken geheime Schlüssel in Android-Anwendungen

16.000 Android-Apps in Googles Play Store hat eine Sicherheitsfirma untersucht. Dabei entdeckten die Forscher als gefährlich für die Sicherheit einzustufende geheime Schlüssel in über 300 Anwendungen.

16.000 Android-Apps untersucht

Im November 2016 hatte die Sicherheitsfirma Fallible ein Code-Analysetool für Android-Apps aus Googles Play Store entwickelt. Damit wollten die Forscher – ursprünglich für interne Zwecke – Anwendungen nach geheimen Schlüsseln durchforsten, die eventuell eine Gefahr für die Sicherheit der Nutzer darstellen könnten. Das Tool stellten die Fallible-Forscher auch online zur Verfügung, so dass Nutzer ebenfalls Apps nach unerwünschten Codeschnipseln durchsuchen lassen konnten. Jetzt hat Fallible die Ergebnisse von 16.000 untersuchten Apps veröffentlicht – und die sind recht befremdlich.

Android-Apps mit (geheimen) Schlüsseln. (Grafik: Fallible)

Welche Apps genau untersucht wurden, gab Fallible nicht bekannt. Allerdings haben sich die Forscher bei der Auswahl an den populärsten Apps im Play Store orientiert. Demnach hatte die überwiegende Mehrzahl der untersuchten Apps zwar keine geheimen Schlüssel oder Schlüssel von Drittanbietern an Bord. Allerdings wurden bei knapp 2.500 Apps Schlüssel im Programmiercode gefunden. Einige der Schlüssel sind den Sicherheitsforschern zufolge harmlos, etwa Googles API-Key. Allerdings machte das Analysetool auch 304 Schlüssel aus, die definitiv nichts in den Apps zu suchen gehabt hätten, wie die Forscher betonten.

Deutliche Warnung an Android-App-Entwickler

So wurden geheime Schlüssel von Drittanbietern wie Uber, Twitter, Dropbox oder Amazons AWS gefunden, von denen einige weitreichende Möglichkeiten des Zugriffs auf Nutzer-Accounts gehabt hätten. Einige AWS-Schlüssel ermöglichten das Erstellen oder Löschen von Instanzen. Fallible wies App-Programmierer in einem Beitrag auf Hackernoon noch einmal deutlich darauf hin, genau zu überdenken, welche Schlüssel wirklich notwendig sind. Drittanbieter sollten App-Entwickler zudem davor warnen, ihre geheimen Schlüssel in App-Code einzubauen.

Mehr zum Thema:

via www.theregister.co.uk

Bitte beachte unsere Community-Richtlinien

14 Reaktionen
Kopfschüttelnd

Alter, müßt Ihr alle Zeit über haben...

grep

@Kopfschüttelnd

Ein N³rd 'nimmt' sich die Zeit ... und ... wer weniger schläft ist länger wach, denn im Informationszeitalter ist ausreichend Schlaf nicht mehr selbstverständlich - oh ja, diese Scheiße kann einen krank machen.

Ciao, Sascha.

grep

@Marek

Sie und div. andere Kommentatoren sind m. E. Bots resp. T3N-Team-Mitarbeiter die so agieren als seien sie irgendwelche Leser die hier mal ihren Senf zugeben ...; alles bloß um die Diskussion zu steuern und anzufachen.

Man sieht es besonders an den Kommentatoren die keinen Hyperlink zur ihrer Webseite setzen und die beknackt zufällige, einfältige, ähnlich klingende Namen benutzen.

Sie haben Ahnung ?! - Wer sind SIE (?)
Referenzen, Webseiten, Netzwerke ??! - Wer sind SIE ... niemand ... richtig ??!

Gleich antwortet hier der nächste, natürliche Bot, Mitarbeiter, diskreditiert mich, empört sich, schützt Marek.

Ciao, Sascha.

Marek

Wow, ich hab ja vermutet dass du "etwas sonderbar" bist - danke für den Beweis... und natürlich für das Kompliment zu meinem "beknackt, zufälligen und einfältigen" Namen.

Ciao, Marek.

grep

@Marek

Gern geschehen ...

Ciao, Sascha.

Fenja Schütte

Moin Sascha,

tut mir leid, dass ich dich enttäuschen muss: Unsere Mitarbeiter haben wichtigere Aufgaben als ununterbrochen die Diskussion anzufeuern. Das sind tatsächliche Leser mit tatsächlichen Meinungen und (überwiegend) tatsächlichen Namen. Wir wären da bei den Namen schon kreativer, wie z.B. Imperial-Purity, Nutella oder Peppels.

High-Five aus dem t3n HQ,
Fenja

grep

@FenjaSchütte

Hätte ich jetzt auch geschrieben, liebe Fenja.
Obwohl diesmal mag's stimmen.

Ciao, Sascha.

Jochen G. Fuchs

„Unsere Mitarbeiter haben wichtigere Aufgaben als ununterbrochen die Diskussion anzufeuern.“

Ich mache aber auch mal Ausnahmen.

grep

@JochenG.Fuchs

Oh ja, jetzt glaub ich glaub ich's; unfassbar viel Aufmerksamkeit für so 'nen trolligen, rassistischen, hetzerischen N³rd wie mich aus eurem sau-coolen T3N-HQ ..., ich hab Fenja aber schon wegen ihres zuckersüssen Aussehens geglaubt.

Ciao, Sascha.

grep

@JörnBrien

Ein auf MS-Win-Ideologie verbogenes Linux namens Android, entwickelt von Google - wen wundert da noch zweifelhafter Code in Apps ?!

Ciao, Sascha.

Joachimvk

Google hat doch überhaupt keinen Einfluß auf die Apps! Sondern nur der Programmierer der App.

grep

@Joachimvk

Logisch (!); das Sicherheitskonzept von unxioden Systemen ist besser als dass von MS-Win-Systemen ... !

Bei MS-Win-Systemen lädt man sich z. B. die Software irgendeines Anbieters irgendwo herunter, die Installationsroutine erhält automatisch ALLE Rechte denn der MS-Anwender ist zu dumm diese händisch zu erteilen, per Shell zu installieren.

Linux-Systeme erfordern mehr Wissen vom Nutzer, dort erhält ein Programm nicht automatisch ALLE Rechte um sich selbst zu installieren, i. d. R. macht der Anwender dies händisch, via Terminal.

Android, ein Linux nach MS-Win-Marotte, hebelt Sicherheitsmechanismen aus um den Anwender nicht zu überfordern, denn die Smartphone-Generation ist i. d. R. zu blöd etwas händisch via Befehl, per Konsole zu installieren.

Jetzt kapiert ?!

Ciao, Sascha.

Marek

Wer Android als ein nach MS-Win-Ideologie verbogenes Linux sieht, scheint kein wirkliches Verständnis für die Materie zu haben...

Ciao, Marek.

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst