\nCouple Vow ist eine kostenlose Anwendung (werbefinanziert), die zwischen zwei tief engagierten Paaren verwendet werden kann, um den eigenen Status zu informieren, z.B. (1) den aktuellen Standort, (2) die Liste der SMS, die vorregistrierte Schl\u00fcsselw\u00f6rter enth\u00e4lt, (3) die Liste der Anrufe, die l\u00e4nger als 3 Minuten dauern. Sie k\u00f6nnen auch (4) geolokationale Regionen festlegen, um die anderen wissen zu lassen, wann immer Sie in\/aus den Regionen kommen, (5) sich \u00fcber WiFi oder 3G\/GSM\/CDMA Internetverbindung unterhalten. <\/p>\n<\/blockquote>\n
Es ist klar, dass die 'P\u00e4rchen' ggf. auch delikatere Fotos \u00fcber die App austauschen. Doof nur, wenn die App nur so vor Sicherheitsl\u00fccken strotzt und der App-Anbieter das alles fein s\u00e4uberlich auf seinen Servern ablegt. Die Couple Vow-Sicherheitsl\u00fccken waren mit rudiment\u00e4ren Hacks ausnutzbar. <\/p>\n
In einem Fall mussten die Forscher die Daten lediglich mit einer GET-Anfrage vom Applikationsserver anfordern. Benutzernamen und Kennwort haben die App-Entwickler in diesem Fall offenbar f\u00fcr Luxus gehalten, deren Eingabe war in der GET-Anfrage nicht n\u00f6tig. <\/p>\n
Zudem waren alle Benutzeranmeldungen v\u00f6llig unverschl\u00fcsselt und f\u00fcr jeden mit einer Internetverbindung lesbar. \"Sie m\u00fcssen nicht einmal den Server angreifen. Mit einer einzigen GET-Anfrage erhalten Sie alle Daten, da es keine Authentisierung gab\", sagte SIT-Sicherheitsforscher Siegfried Rasthofer gegen\u00fcber Forbes.<\/p>\n
Eine weitere Schwachstelle in der App erlaubte es den Forschern, Bilder abzurufen, neun St\u00fcck auf einmal. Als die Forscher die eigenen Bilder ansehen wollten, entdeckten sie ein Schlupfloch. \u00dcber diese L\u00fccke lie\u00dfen sich auch Bilder andere Paare abrufen (die Forscher luden keine Fotos herunter, hatten aber alle als Miniaturvorschaubilder im Browser aufgelistet \u2013 darunter brisante Nacktfotos). <\/p>\n
Der Entwickler auch dem fernen Chinesien reagierte nicht einmal auf die Anfragen der Sicherheitsforscher. Ich gehe davon aus, dass das Fraunhofer SIT schlicht ein paar Leute einstellen muss, die Mandarin beherrschen. <\/p>\n
Andere Apps mit gleichen Problemen<\/h2>\n
Weitere 18 Tracker-Apps mit Millionen von Nutzern wurden von Rasthofer und seinen Kollegen Stephan Huber und Steven Arzt im Laufe des letzten Jahres untersucht. Alle enthielten Schwachstellen, die ausgenutzt werden konnten, um auf Konten zuzugreifen, einschlie\u00dflich Login-Bypasses und ungesch\u00fctzter Kommunikation.<\/p>\n
Unternehmen, die sich auf das Tracken oder ausspionieren von Personen per App spezialisiert haben, wurden im letzten Jahr von Hackern kompromittiert. Die thail\u00e4ndische Firma FlexiSpy und die amerikanische Firma Retina-X wurden im vergangenen Jahr kompromittiert.<\/p>\n
Einige App-Entwickler reagierten auf Rasthofers Warnungen. Aber viele Apps, einschlie\u00dflich Couple Vow, wurden nicht gefixt und sind weiter online, so Forbes.Die Sicherheitsforscher kritisieren auch die Reaktion von Google auf die Enth\u00fcllung des Teams. \"Die Kommunikation mit Google war nicht fantastisch\", sagte Rasthofer. \"Es war langsam und wir mussten sie schubsen. … Es hatte keinen direkten Einfluss auf Google – das ist vielleicht der Grund.\" Er sagte, dass Google eine Handvoll der Apps aus dem Play Store entfernt hat, aber einige blieben \u00fcbrig.<\/p>\n","protected":false},"excerpt":{"rendered":"
Das ist ja mal wieder nett: Eine Android-App hat es erm\u00f6glicht, dass Sicherheitsforscher 1,7 Millionen Datens\u00e4tze mit Kennw\u00f6rtern im Klartext und teilweise Nacktfotos h\u00e4tten abrufen k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,4346,4328],"class_list":["post-207897","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/207897","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=207897"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/207897\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=207897"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=207897"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=207897"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\")
Das ist ja mal wieder nett: Eine Android-App hat es erm\u00f6glicht, dass Sicherheitsforscher 1,7 Millionen Datens\u00e4tze mit Kennw\u00f6rtern im Klartext und teilweise Nacktfotos h\u00e4tten abrufen k\u00f6nnen. <\/p>\n![\"Android](\"https:\/\/i.imgur.com\/W70PM2M.jpg\"\/ "\\"Android")
<\/p>\n