Security Daten App-gefischt

Daten, die in Apps gespeichert werden, landen vielfach in einer unsicheren Cloud-Datenbank.
Daten, die in Apps gespeichert werden, landen vielfach in einer unsicheren Cloud-Datenbank.

Viele Apps übergeben Daten an die Cloud – sei es zur Synchronisation zwischen Geräten, zum Abgleich mit anderen Daten oder für Analysezwecke. Wissenschaftler haben festgestellt: Diese Daten sind häufig unsicher – und die Nutzer der Apps merken das noch nicht einmal.

Die großen Online-Schwergewichte Facebook und Amazon sind nicht nur in ihrem Kerngeschäft – Social Networking und Online-Handel – aktiv. Sie bieten auch ihre massive Rechner- und Speicherinfrastruktur als Dienstleistung an. Bei Facebook gibt es das Portal »Parse« mit dem Entwickler Apps für iOS, Windows Phone und Android erstellen können. Und nicht nur das: Parse stellt auch die Infrastruktur bereit, um Nutzerdaten dieser Apps zu sammeln und auszuwerten und um mit den Nutzern in Kontakt zu treten, z.B. durch das Senden von Push-Nachrichten. Auch Amazon hat so viel Rechen- und Speicherkapazität »übrig«, dass man diese Kapazitäten mieten kann: über die Amazon Web Services. Produkte sind »Elastic Cloud 2« (Rechenleistung), S3 (Cloud-Speicher) oder DynamoDB (Datenbank).

Diese Dienste haben Wissenschaftler der Technischen Universität Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie unter die Lupe genommen. Dabei fanden sie 56 Millionen ungeschützte Datensätze mit E-Mail-Adressen, Passwörtern, Gesundheitsdaten und anderen sensiblen Informationen von App-Benutzern.

Die Cloud-Datenbanken kommen in vielen Apps zum Einsatz. Sei es zur Synchronisation zwischen Web-Anwendung und App oder zwischen den Apps auf unterschiedlichen Plattformen. Oder um Verknüpfungen zwischen den Daten herzustellen. Geodaten-Applikation speichern zum Beispiel die Standorte der Nutzer in der Cloud. Diese können dann wiederum sehen, wo sich ihre Freunde befinden, wenn die Standortdaten freigegeben sind. Apps, die eine Anmeldung erfordern wie z.B. mytaxi oder Call-a-Bike fragen persönliche Daten inkl. der Kreditkartendaten ab. Irgendwo in der Cloud müssen diese Daten abgespeichert werden, damit der Dienstleister darauf zugreifen kann.

Cloud-Betreiber bieten – je nach Sensibilität der Daten – verschiedene Authentifizierungsmethoden hierfür an. Die schwächste Form der Authentifizierung, eher dazu gedacht, Daten zu identifizieren als zu schützen, verwendet ein einfaches API-Token, eine in den App-Code eingebettete Nummer. Mit aktuellen Werkzeugen können Angreifer diese Token jedoch einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren. Angreifer können so zum Beispiel E-Mailadressen auf dem Schwarzmarkt verkaufen, Nutzer erpressen, Webseiten verändern oder Schadcode einschleusen, um Malware zu verbreiten oder Botnetze aufzubauen.

Um private Daten richtig zu schützen, müssen Apps ein Zugangskontrollschema implementieren. Die Tests zeigten allerdings, dass die große Mehrheit der Apps keine solche Zugangskontrolle verwendet. Das Ergebnis: Viele Nutzerkonten sind durch Identitätsdiebstahl und andere Internetverbrechen bedroht. »Nutzer sollten sich deshalb gut überlegen, welche Daten sie mit Apps verwalten«, sagt Prof. Eric Bodden, der Leiter des Forscherteams.

Die Wissenschaftler untersuchten 750.000 Apps aus dem Google Play Store und dem Apple App Store. Dazu verwendeten sie intern entwickelte Analyse-Frameworks wie etwa den Fraunhofer Appicaptor. Mit Hilfe dieser Expertenwerkzeuge konnten die Forscher Apps identifizieren, die eine schwache Authentifizierung nutzen und führten eine Tiefenanalyse ausgewählter Apps durch. Während dieser Untersuchungen stellte sich heraus, dass viele Datenfelder private Informationen wie verifizierte E-Mailadressen, komplette Benutzernamen oder gar Informationen zu psychischen Krankheiten enthielten.

»Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen«, erklärt Prof. Eric Bodden. »Allerdings zeigen unsere Forschungsergebnisse und die Problematik an sich, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist.« Als die Wissenschaftler das Problem entdeckten, informierten sie umgehend die Cloud-Anbieter sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). »Mit der Hilfe von Amazon und Facebook informierten wir ebenfalls die Entwickler der betroffenen Apps, denn sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen.«, sagt Bodden.