Unverschlüsselte Zugriffsschlüssel für Amazon Cloud in tausenden Apps

Sicherheitsforscher warnen vor unverschlüsselten Access Tokens in Apps. Oft holen sich Entwickler Probleme ungewollt ins Haus. Besonders betroffen: iOS-Apps.

In Pocket speichern vorlesen Druckansicht

(Bild: Blue Planet Studio/Shutterstock.com)

Lesezeit: 3 Min.

Sicherheitsforscher des Softwareherstellers Symantec weisen auf die Gefahr unverschlüsselt hinterlegter Zugriffsdaten für Clouddienste in Apps hin. Bei 1859 öffentlich verfügbaren Apps – 98 Prozent davon für iOS – fanden sie Access Tokens für die Amazon Web Services (AWS), die weit über den vorgesehenen Zweck hinaus Zugriffe auf Clouddaten ermöglichten. In einer Vielzahl von Fällen holten sich App-Entwickler diese Sicherheitslücke durch die Verwendung externer Softwarebibliotheken in ihre Programme.

Mehr als drei Viertel der Apps (77 Prozent) enthielten Zugriffsschlüssel für die Amazon-Cloud, die im Klartext im Code hinterlegt waren, und Zugriff auf private Clouddaten zuließen. Knapp die Hälfte (47 Prozent) dieser Access Tokens ließen sogar den Zugriff auf Millionen private Dateien zu, die im Amazon Simple Storage Service (Amazon S3) gespeichert sind.

Der hohe Verbreitungsgrad der Probleme geht laut der Analyse der Sicherheitsforscher oftmals darauf zurück, dass sich die Entwickler mobiler Apps die Probleme durch Einbinden externer Softwarebibliotheken und Software Development Kits (SDKs) ungewollt ins Haus holen. Auch das Beauftragen externer Dienstleister oder Firmen, die diverse Apps entwickeln und dabei Code-Teile wiederverwenden, seien eine Ursache dafür, dass die Sicherheitslücke nicht nur vereinzelt anzutreffen ist. Beleg dafür ist, dass 53 Prozent der Apps, die untersucht wurden, den gleichen AWS Access Token enthielten, obwohl die Apps von verschiedenen Entwicklern und Firmen stammten. Als Ursache wurde ein SDK ausgemacht, das von allen Apps verwendet wurde.

Entwickler, die Clouddienste oder APIs selbst einbinden, sollten darauf achten, diese nicht im Klartext zu hinterlegen und die Zugriffsrechte so einzustellen, dass über den eigentlichen Zweck hinaus keine Zugriffe auf Daten möglich sind.

Die Sicherheitsforscher nennen mehrere konkrete Beispiele, welchen Risiken von der vermeintlich kleinen Nachlässigkeit ausgehen. So erlaubte das mobile SDK einer Intranet- und Kommunikationsplattform durch einen hinterlegten Token Zugriff auf sämtliche privaten Kundendaten der Nutzer der Plattform. Dateien von 15.000 mittleren und großen Unternehmen seien dadurch ungeschützt abrufbar gewesen. Es sei in dem Fall versäumt worden, den Zugriff des Access Tokens zu beschränken, der nur dafür hinterlegt wurde, um Übersetzungsdienste in Amazons Cloud zu nutzen.

Fündig wurden die Forscher auch in mehreren Onlinebanking-Apps, die alle das gleiche SDK zur Überprüfung der Identität der Nutzer verwendeten. 300.000 biometrische digitale Fingerabdrücke, die in der Cloud hinterlegt waren, seien dadurch völlig ungeschützt gewesen. Im Falle einer Plattform für Onlinewetten konnte mittels des unverschlüsselten Zugriffsschlüssels ein Lese- und Schreibzugang zu Kunden- und Firmendaten erlangt werden. Die Unternehmen, von deren Code die Probleme ausgingen, seien von Symantec über die Probleme anschließend informiert worden.

(mki)