{"id":196241,"date":"2017-11-12T00:45:42","date_gmt":"2017-11-11T23:45:42","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=196241"},"modified":"2020-03-04T10:51:32","modified_gmt":"2020-03-04T09:51:32","slug":"eavesdropper-wenn-app-entwickler-patzen-sind-nutzer-gefhrdet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/11\/12\/eavesdropper-wenn-app-entwickler-patzen-sind-nutzer-gefhrdet\/","title":{"rendered":"Eavesdropper: Wenn App-Entwickler patzen sind Nutzer gef&auml;hrdet"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Apps, die die Twillo REST-API unter iOS oder Android verwenden, verraten u.U. vertrauliche Daten an Angreifer. Das haben Sicherheitsforscher jetzt herausgefunden. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/dff2977c921c4e9d96c1d65456282928\" width=\"1\" height=\"1\"\/>Das gr\u00f6\u00dfte Sicherheitsrisiko sind (neben dem Nutzer) immer noch die App-Entwickler. Diese setzen h\u00e4ufig auf Frameworks oder Bibliotheken und Dienste von Fremdanbietern. Der Anbieter <a title=\"twilio.com\" href=\"https:\/\/www.twilio.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">twilio.com<\/a> bietet eine REST-API f\u00fcr App-Entwickler an, \u00fcber die diese Sprach- und Videokommunikation in ihren Apps integrieren k\u00f6nnen. <\/p>\n<p>Nun haben Sicherheitsforscher einmal eine Reihe von Apps, die Twilio verwenden, analysiert. Dabei haben sich erschreckende Erkenntnisse aufgetan. Hunderte Apps ignorieren die Hinweise von Twilio, dass Anmeldeberechtigungen (Credentials) zu sch\u00fctzen sind. Stattdessen sind diese ungesch\u00fctzt fest in der App implementiert. F\u00e4ngt ein Angreifen die Anmeldeberechtigungen (Credentials) ab, erh\u00e4lt er Zugriff auf die \u00fcber Twilio versandten Daten. Dazu braucht er die Kommunikation lediglich auf die Anmelde-Credentials zu durchsuchen. <\/p>\n<p><a href=\"https:\/\/web.archive.org\/web\/20171210124655\/https:\/\/www.appthority.com\/wp-content\/uploads\/2017\/11\/Eavesdropper-blog-1.png\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Eavesdropper-Daten\" alt=\"Eavesdropper-Daten\" src=\"https:\/\/web.archive.org\/web\/20171210124655\/https:\/\/www.appthority.com\/wp-content\/uploads\/2017\/11\/Eavesdropper-blog-1.png\" width=\"623\" height=\"192\"\/><\/a><br \/>(Quelle: appthority) <\/p>\n<p>Sicherheitsforscher von appthority haben das <a href=\"https:\/\/web.archive.org\/web\/20171110184646\/https:\/\/www.appthority.com\/mobile-threat-center\/blog\/eavesdropper-mobile-vulnerability-exposing-millions-conversations\/\" target=\"_blank\" rel=\"noopener noreferrer\">in einem Blog-Beitrag<\/a> dokumentiert und die Angriffsmethode als Eavesdropper bezeichnet. Das Problem wurde im April 2017 erstmals entdeckt, und auch Twilio wurde im Juli \u00fcber das Problem informiert. Laut eigenen Angaben wurden \u00fcber 685 Unternehmens-Apps (44% Android, 56% iOS), die mit 85 Twilio-Entwicklerkonten in Verbindung standen, als per Eavesdropper angreifbar entdeckt. <\/p>\n<p>Ende August 2017 waren 75 dieser Apps auf Google Play und 102 im [Apple] App Store verf\u00fcgbar. Die betroffenen Android-Apps wurden bis zu 180 Millionen Mal heruntergeladen. Ungef\u00e4hr 33% der gefundenen Eavesdropper-Anwendungen sind gesch\u00e4ftlich in Verwendung. Das Problem existiert \u00fcbrigens seit 2011. Der Umfang der gef\u00e4hrdeten Datens\u00e4tze ist gewaltig und umfasst Hunderte von Millionen Anrufaufzeichnungen, sowie Millionen Minuten von Anrufen, Audioaufnahmen und Textnachrichten. (<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/-eavesdropper-vulnerability-exposes-millions-of-private-conversations\/\" target=\"_blank\" rel=\"noopener noreferrer\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Apps, die die Twillo REST-API unter iOS oder Android verwenden, verraten u.U. vertrauliche Daten an Angreifer. Das haben Sicherheitsforscher jetzt herausgefunden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1440,426],"tags":[4346,4328],"class_list":["post-196241","post","type-post","status-publish","format-standard","hentry","category-app","category-sicherheit","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196241","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=196241"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196241\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=196241"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=196241"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=196241"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}