56 Mio. ungeschützte Datensätze durch Apps 56 Mio. ungeschützte Datensätze durch Apps - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


28.05.2015 pte/Rudolf Felser

56 Mio. ungeschützte Datensätze durch Apps

Cloud-Datenbanken wie Facebooks Parse und Amazons AWS weisen nach einer Überprüfung 56 Mio. ungeschützte Datensätze auf. Experten der Technischen Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie haben E-Mail-Adressen, Passwörter, Gesundheitsdaten und andere sensible Informationen von App-Benutzern geprüft, die leicht gestohlen und manipuliert werden können.

© vege - Fotolia.com

App-Entwickler verwenden Cloud-Datenbanken, um Nutzerdaten zu speichern, ignorieren aber oft die Sicherheitsempfehlungen der Cloud-Anbieter, wie die Analyse zeigt. Für die User und deren Online-Accounts stellt dies eine potenzielle Bedrohung dar, denn sie sind durch Identitätsdiebstahl und andere Internetverbrechen bedroht. "Nutzer sollten sich deshalb gut überlegen, welche Daten sie mit Apps verwalten", sagt Forschungsleiter Eric Bodden.

Viele Smartphone-Apps speichern Nutzerinformationen in Cloud-Datenbanken, um zum Beispiel die Synchronisation zwischen Android und iOS Apps zu vereinfachen. Cloud-Betreiber bieten - je nach Sensibilität der Daten - verschiedene Authentifizierungsmethoden hierfür an. Die schwächste Form der Authentifizierung, eher dazu gedacht, Daten zu identifizieren als zu schützen, verwendet ein einfaches API-Token, eine in den App-Code eingebettete Nummer.

Den Fachleuten aus Darmstadt nach ist Angreifern mit entsprechenden Werkzeugen jedoch das einfache Extrahieren der Daten möglich. Diese lassen sich dann nicht nur lesen, sondern oft sogar auch manipulieren. Cyber-Kriminelle können so zum Beispiel E-Mail-Adressen auf dem Schwarzmarkt verkaufen, Nutzer erpressen, Webseiten verändern oder Schadcode einschleusen, um auf gezielte Art und Weise Malware zu verbreiten oder Botnetze aufzubauen.

Um Daten richtig zu schützen, müssen Apps ein Zugangskontrollschema implementieren, fordern die Experten. Denn: Die Tests haben gezeigt, dass die große Mehrheit der von den meisten Nutzern verwendeten Apps keine solche Zugangskontrolle hat. Die Wissenschaftler untersuchten 750.000 Apps aus dem Google Play Store und dem Apple App Store. Dazu verwendeten sie intern entwickelte Analyse-Frameworks wie etwa den Fraunhofer Appicaptor.

"Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen. Allerdings zeigen unsere Ergebnisse, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist", unterstreicht Bodden. Als die Fachleute das Problem entdeckten, informierten sie umgehend die Cloud-Anbieter sowie das deutsche Bundesamt für Sicherheit in der Informationstechnik.

"Die Ergebnisse der Untersuchung der TU Darmstadt und des Fraunhofer-Instituts SIT sollten IT-Verantwortlichen weltweit einmal mehr klar machen: Setzt endlich auf verschlüsselte Cloud-Technologien! Unternehmen verspielen durch einen solch leichtsinnigen Umgang mit den Daten ihrer Nutzer Vertrauen und gefährden damit langfristig ihre Reputation. Um User-Informationen adäquat zu schützen, ist eine Ende-zu-Ende-Verschlüsselung mittels AES-256-Algorithmus Pflicht: Nur so kann wirklich gewährleistet werden, dass lediglich Befugte Zugang zu den sensiblen Datensätzen haben. Wer die eigenen Nutzer nicht dauerhaft verlieren will, sollte schnell anfangen, das Thema Datensicherheit neu zu denken", kommentiert Volker Oboda, Geschäftsführer und Gründer von TeamDrive, die Ergebnisse der Sicherheitsforscher – und bringt damit auf den Punkt, was wohl viele denken. (pte/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Bewertungen: 5.0 von 5. 1 Stimme(n).
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr
  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr

Hosted by:    Security Monitoring by: