[English]Sicherheitsforscher haben die Biometriefunktion der Shopify Android-App ausgehebelt. Diese sollte eigentlich Händlern einen sicheren Zugriff auf ihre Shops per Fingerabdruckleser bereitstellen. Ist die App aber geöffnet, kann ohne Authentifizierung auf Deep-Links zugegriffen werden.
Anzeige
Für Blog-Leser/innen, die nicht so ganz im Thema sind (ich musste die genauen Details selbst nachschlagen), hier einige Hintergrundinformationen.
Shopify und die Android-App
Shopify ist eine proprietäre E-Commerce-Software, die von dem gleichnamigen kanadischen Unternehmen vertrieben wird. Mit ihr können kleine und mittelständische Händler selbst Online-Shops erstellen und Werkzeuge zum Einrichten von Bezahloptionen oder zum Integrieren in Amazon Marketplace nutzen.
Im Google Play Store gibt es die App Shopify: Mobiler E-Commerce, die sich Händler von Shops kostenlos installieren können. Die Beschreibung:
Anzeige
Verwalten Sie Ihren Onlineshop von Ihrem Handy aus, von überall. Unabhängig davon, ob Sie eine oder mehrere Filialen haben, ermöglicht Ihnen die Shopify-Anwendung eine einfache Verwaltung von Bestellungen und Produkten, die Kommunikation mit Mitarbeitern und die Verfolgung von Verkäufen.
Die Bio-Authentifizierung lässt sich wohl umgehen
So weit so gut. Die Shopify Android-App bietet auch die Möglichkeit, sich mit dem Fingerabdruck bei der App anzumelden. Nun bin ich über Twitter darauf gestoßen, dass die Bio-Authentifizierung der App per Fingerabdrucksensor umgangen werden kann.
Shopify: Bypass of biometrics security functionality is possible in Android application (https://t.co/7Kwi2JcCzp)
##vulnerability #exploit #cybersecurity #pentest
https://t.co/cmxs9ZZolr— team_security (@teamsecurity3) September 29, 2019
Aber wenn die Anwendung geöffnet war und jemand einen "Deeplink" auslöst, ist keine Authentifizierung mehr erforderlich. Der verlinkte Artikel sowie diese Sicherheitsseite halten Details zu diesem Problem bereit.
Anzeige
