Unzählige Apps speichern private Daten unsicher in der Cloud

Auf den Cloud-Servern von Apple und Co. schlummern 56 Millionen nicht optimal geschützte Datensätze. Angreifer könnten vergleichsweise einfach Fotos, Adressdaten und weitere Infos abgreifen.

In Pocket speichern vorlesen Druckansicht 52 Kommentare lesen
Cloud

(Bild: dpa, Peter Steffen)

Lesezeit: 1 Min.

Dank der Cloud können Nutzer ihre Daten problemlos über verschiedene Geräte abrufen, da die Informationen stets synchronisiert vorliegen. Doch oft sind die Datensätze nur unzureichend geschützt und neben dem Mitlesen könnten Angreifer Daten auch manipulieren. Das fanden Sicherheitsforscher der TU Darmstadt und das Fraunhofer SIT in einer Studie heraus.

Dabei haben sie 750.000 Android- und iOS-Apps untersucht und die Anbindung an die Cloud-Dienste von Amazon, Apple, Facebook und Google geprüft. Den Sicherheitsforschern zufolge ignorieren viele App-Entwickler die Sicherheits-Empfehlungen der Cloud-Anbieter und setzen auf unsichere Standard-Sicherheitseinstellungen.

In diesem Fall haben die Sicherheitsforscher folgendes Szenario erfolgreich durchgespielt: Da die betroffenen Apps kein anwenderspezifisches Passwort für die Cloud-Anbindung nutzen, konnten sie den im Bytecode der App liegenden Schlüssel extrahieren, um Zugang zu den privaten Daten zu erlangen – und zwar nicht nur den eigenen, sondern auch die von anderen Nutzern. Denn der Schlüssel ist bei der jeweiligen App immer der gleiche. Je nach App hätten Angreifer Zugriff auf etwa E-Mail-Adressen, Passwörter, Fotos und Krankendaten. Aktuell gebe es noch keine Beweise, dass Angreifer die Schwachstelle ausnutzen.

Die Sicherheitsforscher haben die Cloud-Anbieter und App-Entwickler bereits mehrere Wochen vor Veröffentlichung der Ergebnisse über diesen Missstand informiert. Welche Apps konkret betroffen sind, sagen sie nicht und begründen dies damit, dass verschiedene Gesetze es Sicherheitsforschern verbieten, Warnungen für Produkte auszusprechen. (des)