Eine Untersuchung von Forschern der Technischen Universität Darmstadt und dem Fraunhofer-Institut für Sichere Informationstechnologie zeigt, dass App-Entwickler die Sicherheit bei der Nutzung von Cloud-Datenbanken vernachlässigen. Das Forscherteam unter der Leitung von Professor Eric Boden fand 56 Millionen ungeschützte Datensätze, die potenziell Manipulationen und anderen Angriffen ausgesetzt sind.
Wie auf der Seite der Universität erklärt wird, speichern Apps Nutzerinformationen in Cloud-Datenbanken, um beispielsweise die Synchronisation zwischen Android und iOS Apps zu vereinfachen. Dabei bieten Cloud-Betreiber je nach Sensibilität der Daten verschiede Authentifizierungsmethoden an.
Das Forscherteam untersuchte 750.000 Apps aus dem Google Play Store und dem Apple App Store. Die Tests zeigten, dass die Mehrheit der Anwendungen keine Zugangskontrolle verwendete und sensible Informationen wie Passwörter, E-Mail-Adressen und Gesundheitsdaten relativ leicht zugänglich waren. Viele App-Entwickler machen Gebrauch von Cloud-basierten Datenbanken, um die Nutzerdaten zu speichern, ignorieren aber häufig die Sicherheitsempfehlungen der Anbieter.
Scheinbar nutzen viele App-Entwickler die schwächte Form der Authentifizierung, mit der die gespeicherten Informationen nicht geschützt sondern lediglich identifiziert werden. Dabei wird ein einfaches API-Token genutzt. Hierbei handelt es sich um eine in den App-Code eingebettete Nummer, die Angreifer relativ leicht extrahieren können. Dann sind sie in der Lage, die Daten auszulesen oder zu manipulieren und für ihre Zwecke zu missbrauchen – zum Beispiel, um E-Mail-Adressen zu verkaufen, Nutzer zu erpressen oder aber, um Schadsoftware zu verbreiten und Botnets aufzubauen.
Professor Eric Bodden, Leiter des Forscherteams, empfiehlt: „Nutzer sollten sich deshalb gut überlegen, welche Daten sie mit Apps verwalten.“ Nachdem die Forscher das Problem entdeckt hatten, informierten sie umgehen die Cloud-Anbieter sowie das Bundesamt für Sicherheit in der Informationstechnik. „Mit der Hilfe von Amazon und Facebook informierten wir ebenfalls die Entwickler der betroffenen Apps, denn sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen“, erklärt Bodden.