{"id":305536,"date":"2024-10-26T08:23:49","date_gmt":"2024-10-26T06:23:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=305536"},"modified":"2024-10-26T10:10:42","modified_gmt":"2024-10-26T08:10:42","slug":"risiko-aws-und-azure-schluessel-in-android-und-ios-apps","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/10\/26\/risiko-aws-und-azure-schluessel-in-android-und-ios-apps\/","title":{"rendered":"Risiko: Fest codierte AWS- und Azure-Schl\u00fcssel in Android- und iOS-Apps"},"content":{"rendered":"

\"SicherheitUnsch\u00f6ne Erkenntnis von Sicherheitsforschern: Die App-Manie schl\u00e4gt sicherheitstechnisch zur\u00fcck. Bei Inspektionen hat man fest hinterlegte Schl\u00fcssel f\u00fcr Zug\u00e4nge zu AWS- und Azure-Konten in Android- und iOS-Apps gefunden. Entwickler haben gepatzt und Angreifern potentiell den Zugang zu ihren Cloud-Angeboten ge\u00f6ffnet.<\/p>\n

<\/p>\n

\"\"Mobile Apps sind aus unserem Alltag nicht mehr wegzudenken. Man kommt kaum noch an Apps vorbei, um bestimmte Angebote zu nutzen, auch wenn ich immer noch versuche, diese Dienste per Browser-App abzurufen. Mit Millionen von App-Downloads auf Plattformen wie dem Google Play Store und dem Apple App Store stellt sich die Frage, wie es mit der Sicherheit aussieht?<\/p>\n

Sicherheitsforscher haben eine versteckte Bedrohung aufgesp\u00fcrt, die Nutzerdaten und Backend-Dienste erheblich gef\u00e4hrden k\u00f6nnte. Bekannt wurde dies durch einen Bericht von Symantec<\/a>, wo sich deren Sicherheitsforscher diverse Android- und iOS-Apps genauer angeschaut haben. In mehreren popul\u00e4ren Apps f\u00fcr iOS und Android finden sich fest kodierte Anmeldeinformationen f\u00fcr Cloud-Dienste wie Amazon Web Services (AWS) und Microsoft Azure Blob Storage, die zus\u00e4tzlich unverschl\u00fcsselt per Internet \u00fcbertragen werden. Die Kollegen von Bleeping Computer haben erstmals in diesem Beitrag<\/a> dr\u00fcber berichtet.<\/p>\n

\"AWS-Credentials<\/a><\/p>\n

Die App Collage Maker, die im Google Play Store \u00fcber 5 Millionen Mal heruntergeladen wurde, enth\u00e4lt direkt in ihrem Code fest einkodierte AWS-Anmeldeinformationen, was ein erhebliches Sicherheitsrisiko darstellt. Ich habe mir mal die App-Liste, die die Kollegen von Bleeping Computer zusammen gestellt haben und die Beispiele aus dem Symantec-Artikel angeschaut – es sind f\u00fcr mich recht unbekannte Apps, die sich auf den englischen Nutzerkreis fokussieren. Aber ich gehe davon aus, dass viel mehr Apps solche Anmelde-Informationen fest kodiert im Code aufweisen.<\/p>\n

Die betreffenden Schl\u00fcssel f\u00fcr den Zugriff auf AWS- und Azure-Instanzen sind aufgrund von Fehlern und schlechten Praktiken w\u00e4hrend der Entwicklungsphase in die Codebasis der jeweiligen Apps geraten. Schaut man sich die Beispiele im Symantec-Beitrag an, werden die Zugangsschl\u00fcssel fest in Konstanten im Programmcode definiert, und sind f\u00fcr Dritte mit entsprechenden Tools auslesbar.<\/p>\n

Die Offenlegung solcher Anmeldeinformationen kann zu unbefugtem Zugriff auf Speicherbereiche und Datenbanken mit sensiblen Benutzerdaten f\u00fchren. Abgesehen davon k\u00f6nnte ein Angreifer sie nutzen, um Daten zu manipulieren oder zu stehlen. Symantec schreibt von ernsthaften Sicherheitsrisiken, die von fest kodierten und unverschl\u00fcsselten Cloud-Service-Anmeldeinformationen in mobilen Anwendungen ausgehen. Diese Praxis setzt kritische Infrastrukturen potenziellen Angriffen aus und gef\u00e4hrdet Nutzerdaten und Backend-Dienste. Die weite Verbreitung dieser Schwachstellen sowohl auf iOS- als auch auf Android-Plattformen unterstreicht laut Symantec die dringende Notwendigkeit einer Umstellung auf sicherere Entwicklungspraktiken.<\/p>\n","protected":false},"excerpt":{"rendered":"

Unsch\u00f6ne Erkenntnis von Sicherheitsforschern: Die App-Manie schl\u00e4gt sicherheitstechnisch zur\u00fcck. Bei Inspektionen hat man fest hinterlegte Schl\u00fcssel f\u00fcr Zug\u00e4nge zu AWS- und Azure-Konten in Android- und iOS-Apps gefunden. Entwickler haben gepatzt und Angreifern potentiell den Zugang zu ihren Cloud-Angeboten ge\u00f6ffnet.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1440,426],"tags":[4346,4328],"class_list":["post-305536","post","type-post","status-publish","format-standard","hentry","category-app","category-sicherheit","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=305536"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305536\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=305536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=305536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=305536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}