{"id":223056,"date":"2019-09-30T00:33:00","date_gmt":"2019-09-29T22:33:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=223056"},"modified":"2019-09-29T22:03:34","modified_gmt":"2019-09-29T20:03:34","slug":"biometrie-anmeldung-der-shopify-android-app-ausgehebelt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/09\/30\/biometrie-anmeldung-der-shopify-android-app-ausgehebelt\/","title":{"rendered":"Biometrie-Anmeldung der Shopify Android-App ausgehebelt"},"content":{"rendered":"

[English<\/a>]Sicherheitsforscher haben die Biometriefunktion der Shopify Android-App ausgehebelt. Diese sollte eigentlich H\u00e4ndlern einen sicheren Zugriff auf ihre Shops per Fingerabdruckleser bereitstellen. Ist die App aber ge\u00f6ffnet, kann ohne Authentifizierung auf Deep-Links zugegriffen werden.<\/p>\n

<\/p>\n

\"\"F\u00fcr Blog-Leser\/innen, die nicht so ganz im Thema sind (ich musste die genauen Details selbst nachschlagen), hier einige Hintergrundinformationen.<\/p>\n

Shopify und die Android-App<\/h2>\n

Shopify<\/a> ist eine propriet\u00e4re E-Commerce-Software, die von dem gleichnamigen kanadischen Unternehmen vertrieben wird. Mit ihr k\u00f6nnen kleine und mittelst\u00e4ndische H\u00e4ndler selbst Online-Shops erstellen und Werkzeuge zum Einrichten von Bezahloptionen oder zum Integrieren in Amazon Marketplace nutzen.<\/p>\n

\"App<\/p>\n

Im Google Play Store gibt es die App Shopify: Mobiler E-Commerce<\/a>, die sich H\u00e4ndler von Shops kostenlos installieren k\u00f6nnen. Die Beschreibung:<\/p>\n

Verwalten Sie Ihren Onlineshop von Ihrem Handy aus, von \u00fcberall. Unabh\u00e4ngig davon, ob Sie eine oder mehrere Filialen haben, erm\u00f6glicht Ihnen die Shopify-Anwendung eine einfache Verwaltung von Bestellungen und Produkten, die Kommunikation mit Mitarbeitern und die Verfolgung von Verk\u00e4ufen.<\/p><\/blockquote>\n

Die Bio-Authentifizierung l\u00e4sst sich wohl umgehen<\/h2>\n

So weit so gut. Die Shopify Android-App bietet auch die M\u00f6glichkeit, sich mit dem Fingerabdruck bei der App anzumelden. Nun bin ich \u00fcber Twitter darauf gesto\u00dfen, dass die Bio-Authentifizierung der App per Fingerabdrucksensor umgangen werden kann.<\/p>\n

\n

Shopify: Bypass of biometrics security functionality is possible in Android application (https:\/\/t.co\/7Kwi2JcCzp<\/a>)
\n##vulnerability<\/a> #exploit<\/a> #cybersecurity<\/a> #pentest<\/a>
\nhttps:\/\/t.co\/cmxs9ZZolr<\/a><\/p>\n

\u2014 team_security (@teamsecurity3) September 29, 2019<\/a><\/p><\/blockquote>\n