Start Technik heute Android Tausende von Android-Apps geben hartcodierte Geheimnisse preis

Tausende von Android-Apps geben hartcodierte Geheimnisse preis

8
0


Android-Gefahrenzeichen

Tausende von Android-Apps haben fest codierte Geheimnisse, was bedeutet, dass ein böswilliger Akteur – und nicht unbedingt ein sehr erfahrener – Zugriff auf API-Schlüssel, Google Storage-Buckets und ungeschützte Datenbanken und mehr erlangen könnte.

Forschung aus Cybernews zeigt, dass über die Hälfte von 30.000 untersuchten Apps Geheimnisse preisgeben, die sowohl für App-Entwickler als auch für ihre Kunden enorme Auswirkungen haben könnten.

„Sensible Daten auf der Client-Seite einer Android-App fest zu codieren, ist eine schlechte Idee. In den meisten Fällen kann durch Reverse-Engineering leicht darauf zugegriffen werden“, sagt Cybernews-Forscher Vincentas Baubonis.

Nach einer einmonatigen Untersuchung stellten die Forscher fest, dass sich mit einer, wie Baubonis es nennt, „mittelmäßigen Infrastruktur“ in wenigen Wochen sehr viele Daten analysieren lassen. Ein hartnäckiger Bedrohungsakteur mit fortschrittlicheren Tools könnte in kürzerer Zeit mehr Geheimnisse extrahieren und sie dann für böswillige Zwecke verwenden.

Die Studie ergab, dass 55,94 Prozent (18.647) der analysierten Apps hartcodierte Geheimnisse hatten, darunter verschiedene API-Schlüssel und sogar Links zu offenen Datenbanken, die sensible Unternehmens- und Benutzerdaten preisgeben. Insgesamt identifizierten die Forscher über 124.000 Zeichenfolgen, die möglicherweise sensible Daten preisgeben. Die hartcodiertesten Geheimnisse finden sich in Apps in fünf Kategorien: Gesundheit und Fitness, Bildung, Tools, Lifestyle und Business.

Die Forscher deckten auch einen Logikfehler in Google Cloud-Diensten auf, der es ermöglicht, Apps direkt aus dem Play Store herunterzuladen, ohne dass eine Warnung vorliegt, dass sie schädlich sein könnten. Wenn Sie die Apps jedoch auf Google Drive speichern, um sie auf einen anderen Computer zu übertragen, und dann versuchen, sie von dort herunterzuladen, wird Google aufgefordert, vor ihren potenziellen Gefahren zu warnen. Von über 33.000 analysierten Apps konnten die Forscher 44 nicht von Google Drive herunterladen, obwohl sie keine Probleme hatten, sie direkt aus dem Play Store herunterzuladen.

Sie können mehr über die Forschung und die Daten lesen, die Apps möglicherweise auf der veröffentlichen Cybernews-Blog.

Bildnachweis: Pixelery.com/depositphotos.com



Vorheriger Artikelc’t 3003: Kann das Hacking-Gerät Flipper Zero Autos knacken?
Nächster ArtikelWeniger Profit für Russland: G7-Staaten wollen Preisdeckel auf Öl durchsetzen

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein