Android-Apps: Passwort-Schlamperei verbreitet
Passwörter im Klartext übertragen? Https-Zertifikate nicht überprüfen? Durchaus nicht unüblich, prangert ein Hersteller von Sicherheitssofttware an.
(Bild: dpa, Julian Stratenschulte / Illustration)
Laut einer Untersuchung gehen zahlreiche Android-Apps schlampig mit Logindaten um. Nicht alle Probleme seien ganz so offensichtlich wie die der Dating-App Match.com, die Benutzername und Passwort komplett unverschlüsselt überträgt. Weit verbreitet seien aber – so der Chef der Firma AppBugs Rui Wang gegenüber Arstechnica – Fehler bei der Implementierung der https-Verschlüsselung.
So prüfe beispielsweise die App der Basketball-Liga NBA Zertifikate nicht korrekt. Daher kann ein Angreifer mit einem selbst ausgestellten Zertifikat und einem WLAN-Accesspoint das Passwort für das fast 200 US-Dollar teure Abo abgreifen. Allein von diesem Problem seien mehr als 50 Apps betroffen, unter anderem die von PizzaHut und der Supermarktkette Safeway. Insgesamt habe Wang 100 Apps gefunden, die nachlässig mit Anmeldedaten umgehen und zusammen auf 200 Millionen Downloads kommen. Dennoch haben erst rund ein viertel der Hersteller auf die Bugreports reagiert.
Nachlässige Passwort-Verschlüsselung
Allerdings hat die Firma AppBugs auch ein ganz eigenes Interesse an dieser Geschichte, denn die Liste aller betroffenen Apps bekommt nur zu sehen, wer deren App installiert. Die wiederum tauchte just am selben Tag im PlayStore auf wie das Interview mit Wang bei Arstechnica – und hat noch herzlich wenig Downloads.
Dennoch zeigt die Analyse, dass auch Apps von namhaften Firmen noch immer nachlässig mit verschlüsselten Übertragungen umgehen. Dabei hatte erst im April eine fehlerhafte Netzwerkbibliothek iOS-Apps angreifbar gemacht, kurz davor war bekannt geworden, dass Freak Attack die SSL-Verschlüsselung von Millionen Webseiten unterläuft, wenn man sie mit Apple- und Android-Geräten besucht.
(bbe)
