Millionenfach installierte Apps enthalten hartkodierte Cloud-Zugänge
Millionenfach installierte Android- und iOS-Apps enthalten hartkodierte Cloud-Zugangsdaten. Das gefährdet etwa die Privatsphäre.
(Bild: Tada Images/Shutterstock.com)
Symantec ist bei der Untersuchung populärer Apps auf hartkodierte und unverschlüsselte Zugangsdaten zu Cloud-Diensten in der Codebasis gestoßen. Dadurch könne jeder mit Zugriff auf die App-Binary oder die Quellen dazu diese Zugangsdaten extrahieren und sie missbrauchen, um Daten zu manipulieren oder exfiltrieren. Das führe zu ernst zu nehmenden Sicherheitsverstößen.
In einem Blog-Beitrag analysieren Symantecs IT-Forscher mehrere beispielhafte Apps. Dabei konzentrieren sie sich auf solche, die hartkodierte Zugangsdaten zu Amazon Web Services (AWS) und Microsoft Azure Blob Storage enthalten.
Hartkodierte Zugangsdaten in iOS- und Android-Apps
Die Android-App "Pic Stitch: Collage Maker" kommt auf mehr als fünf Millionen Installationen im Play Store und enthält Zugangsdaten zu AWS. Zudem findet sich das Problem auch in drei populären iOS-Apps, etwa "Crumbl", "Eureka: Earn Money for Surveys" und "Videoshop - Video Editor". "Crumbl" hat im Apple-Store knapp vier Millionen Bewertungen erhalten und steht auf Platz fünf der Kategorie "Essen und Trinken". Die darin gespeicherten Klartext-Zugangsdaten lassen sich zur Konfiguration von AWS-Diensten nutzen, was Missbrauch Tür und Tor öffne. Die verwendete URL als API-Endpunkt zu IoT-Diensten in AWS erleichtere Angriffe wie das Abfangen und Manipulieren von Kommunikation und schließlich unautorisierten Zugriff zu den damit verbundenen AWS-Ressourcen, erörtern Symantecs Mitarbeiter. Die "Eureka"-App hat immerhin mehr als 400.000 Bewertungen vorzuweisen, die "Videoshop"-App hingegen mehr als 350.000.
Aber auch Zugangsdaten zu Azure-Cloud-Diensten finden sich in Apps. Etwa die Android-App "Meru Cabs" wurde mehr als fünf Millionen Mal aus dem Google Play Store heruntergeladen. Die darin eingebetteten Verbindungs-Zeichenketten und Zugangsschlüssel würden kritischen Cloud-Speicherplatz offenlegen und potenziellem Missbrauch aussetzen. Am Ende der Meldung hat Symantec eine Tabelle mit App-Namen, deren Download-Anzahl respektive Bewertungsanzahl und zu welchem Cloud-System Zugangsdaten enthalten sind, gesammelt.
Außerdem gibt Symantec Tipps, wie Entwickler das Risiko senken können, sensible Daten zugänglich zu machen. Dazu gehört etwa die Nutzung von Umgebungsvariablen für Zugangsdaten, die zur Laufzeit geladen werden, anstatt sie fest in den Code einzubauen. Der Einsatz sogenannter Secrets-Management-Tools sei empfehlenswert, etwa der AWS Secrets Manager oder Azure Key Vault. Sensible Daten sollten mit starker Verschlüsselung abgelegt werden, sofern Zugangsdaten in der App gespeichert werden müssen, und diese erst zur Laufzeit entschlüsselt werden, wenn sie benötigt werden.
Lesen Sie auch
Okta warnt vor vermehrten Credential-Stuffing-Angriffen
Dass es sich nicht nur um theoretische Gefahren handelt, zeigte etwa die Warnung des Identitäts- und Zugangsverwaltungsdienstleister Okta vor vermehrten Angriffen auf Log-in-Daten Ende April dieses Jahres. Angreifer versuchten, mit geknackten Daten Zugang auf die Dienste zu erhalten.
(dmk)