Unschöne Erkenntnis von Sicherheitsforschern: Die App-Manie schlägt sicherheitstechnisch zurück. Bei Inspektionen hat man fest hinterlegte Schlüssel für Zugänge zu AWS- und Azure-Konten in Android- und iOS-Apps gefunden. Entwickler haben gepatzt und Angreifern potentiell den Zugang zu ihren Cloud-Angeboten geöffnet.
Anzeige
Mobile Apps sind aus unserem Alltag nicht mehr wegzudenken. Man kommt kaum noch an Apps vorbei, um bestimmte Angebote zu nutzen, auch wenn ich immer noch versuche, diese Dienste per Browser-App abzurufen. Mit Millionen von App-Downloads auf Plattformen wie dem Google Play Store und dem Apple App Store stellt sich die Frage, wie es mit der Sicherheit aussieht?
Sicherheitsforscher haben eine versteckte Bedrohung aufgespürt, die Nutzerdaten und Backend-Dienste erheblich gefährden könnte. Bekannt wurde dies durch einen Bericht von Symantec, wo sich deren Sicherheitsforscher diverse Android- und iOS-Apps genauer angeschaut haben. In mehreren populären Apps für iOS und Android finden sich fest kodierte Anmeldeinformationen für Cloud-Dienste wie Amazon Web Services (AWS) und Microsoft Azure Blob Storage, die zusätzlich unverschlüsselt per Internet übertragen werden. Die Kollegen von Bleeping Computer haben erstmals in diesem Beitrag drüber berichtet.
Die App Collage Maker, die im Google Play Store über 5 Millionen Mal heruntergeladen wurde, enthält direkt in ihrem Code fest einkodierte AWS-Anmeldeinformationen, was ein erhebliches Sicherheitsrisiko darstellt. Ich habe mir mal die App-Liste, die die Kollegen von Bleeping Computer zusammen gestellt haben und die Beispiele aus dem Symantec-Artikel angeschaut – es sind für mich recht unbekannte Apps, die sich auf den englischen Nutzerkreis fokussieren. Aber ich gehe davon aus, dass viel mehr Apps solche Anmelde-Informationen fest kodiert im Code aufweisen.
Anzeige
Die betreffenden Schlüssel für den Zugriff auf AWS- und Azure-Instanzen sind aufgrund von Fehlern und schlechten Praktiken während der Entwicklungsphase in die Codebasis der jeweiligen Apps geraten. Schaut man sich die Beispiele im Symantec-Beitrag an, werden die Zugangsschlüssel fest in Konstanten im Programmcode definiert, und sind für Dritte mit entsprechenden Tools auslesbar.
Die Offenlegung solcher Anmeldeinformationen kann zu unbefugtem Zugriff auf Speicherbereiche und Datenbanken mit sensiblen Benutzerdaten führen. Abgesehen davon könnte ein Angreifer sie nutzen, um Daten zu manipulieren oder zu stehlen. Symantec schreibt von ernsthaften Sicherheitsrisiken, die von fest kodierten und unverschlüsselten Cloud-Service-Anmeldeinformationen in mobilen Anwendungen ausgehen. Diese Praxis setzt kritische Infrastrukturen potenziellen Angriffen aus und gefährdet Nutzerdaten und Backend-Dienste. Die weite Verbreitung dieser Schwachstellen sowohl auf iOS- als auch auf Android-Plattformen unterstreicht laut Symantec die dringende Notwendigkeit einer Umstellung auf sicherere Entwicklungspraktiken.
Anzeige
Wenn man wie Microsoft und andere Firmen Programmierung ins Billig Lohn Land Indien auslagert darf man sich über so eine Schlamperei nicht wundern.
Indische Programmierer sind zwar spottbillig aber eben nicht die Besten. Wenn sie aber einen Auftrag von Microsoft bekommen dann sagen die immer "Ja, ja, das können wir, das machen wir!" Egal wie unmöglich die Aufgabe ist. Denn im traditionellen Indien ist man sehr autoritätsgläubig und hinterfragt solche Jobs nicht, um den Chef nicht blos zu stellen.
Aber wenn immer mehr "dumme" Manager in den USA und anderswo wichtige Programmierarbeit an den Betriebssystemen aus Kostengründen in Billiglohnlänger verlagern und dabei die Qualitätskontrolle hops geht – wie lange wird es dann dauern, bis der ganz große Crash passiert?
Und all die Hacker in Russland und China freut´s, weil es immer einfacher wird, die Systeme zu hacken.
Mag sein , dass ich mich irre. Aber zur Zeit vergeht keine Woche, wo nicht wieder irgendwo eine Sicherheitslücke auftaucht oder Systeme aufgrund fehlerhafter Patches in die Knie gehen. Wie lange können oder wollen wir uns das noch gefallen lassen?
Schöne neue IT Welt!