Erwartete Lesezeit: 2 minuten
Bei meiner regelmäßigen Lektüre von Security News bin ich auf einen interessanten Artikel gestoßen, in dem berichtet wurde, dass es bei 23 Android Apps massive Sicherheitsprobleme gab und die Apps offen wie ein Scheunentor standen.
Ursache hierfür sind laut den Experten von Check Point fehlerhafte Konfigurationen und die Missachtung von Best Practices bei der Anbindung von Echtzeit-Datenbanken, der Konfiguration von Push-Benachrichtigungen und Cloud-Services.
Hierdurch wurden nicht nur die personenbezogenen Daten der Anwender kompromittiert sondern auch Entwicklungsressourcen wie der Zugriff auf Update-Schnittstellen der Apps.
Highlights dieser Findings ist aus meiner Sicht die Auslieferung von Usernamen und Passwörter in Klartext in den Apps und das Fehlen von abgesicherten Datenbanken.
Und diesen nicht nur in kleinen, unbekannten Anwendungen, sondern auch in solchen , die zwischen 10.000 und 10 Millionen Installationen hatten.
Betroffen waren unter anderem eine Horoskop App , eine Fax-App, ein Logomaker und eine Taxi-App. Ich kenne zwar keine von diesen Apps, aber ich bin auch eher zurückhaltend mit der Installation von Apps.
Ich bin zwar auch in der App-Entwicklung ein Neuling und spiele nur etwas rum, um Sachen auszuprobieren .Aber von professionellen App-Entwicklern erwarte ich etwas mehr Sensibilität in Bezug auf Zugangsdaten. Im Code hart kodierte Usernamen und Passwörter sollte jedem Entwickler eigentlich die Nackenhaare aufstellen.
Die Bösewichte die diese Daten ggf. abgezogen haben , hatten nicht nur Zugriff auf Username, E-Mailadresse und Real-Namen, sondern z.B. im Falle der Taxi-App auch an Chatnachrichten zwischen den Fahrern und den Kunden.
Warum die Entwickler diese Fehler gemacht haben , kann ich nur vermuten. Meistens ist es der Zeit und Budget-Druck.
Das Geld ist aufgebraucht und man muss schnell releasen , bevor alles in die Hose geht und man scheitert.
Time To Market gehört aus meiner Sicht zu den höchsten Risikos in Bezug auf Datenschutz und Security. Neuentwicklungen dauern und ein gutes Sicherheitskonzept für den Datenzugriff ist halt nicht immer in einer Stunde konzipiert und realisiert. Es gibt zwar tonnenweise Best-Practices, die man adaptieren kann. Aber jede App und jede Situation ist anders, sodass man die Lösungen anpassen muss.
Der Artikel ist auf jeden Fall lesenswert und ich verlinke ihn mal ganz unten in den Quellenangaben.
Und auch in diesem Fall gilt:
Quellenangaben : https://thehackernews.com/2021/05/these-23-android-apps-expose-over.html