Soundcloud, Slack, Kobo: Beliebte Smartphone-Apps mit Gewalt knackbar
Überraschend viele Apps erlauben beliebig viele Passworteingabe-Versuche und sind deswegen verwundbar gegenüber Brute-Force-Angriffen.
- Fabian A. Scherschel
Viele oft heruntergeladene Smartphone-Apps schränken die Anzahl der Passworteingabe-Versuche in ihren Anmelde-Routinen nicht ein. Das erlaubt es Angreifern, mit Gewalt Passwörter durchzuprobieren (Bruteforce-Angriff) und so Konten zu knacken. Das Problem ist bekannt und es gibt erprobte Lösungen, viele App-Entwickler reagieren allerdings nicht auf die Warnungen von Sicherheitsforschern.
Die Firma AppBugs hat beliebte Apps getestet und den Entwicklern bis zu 90 Tagen Zeit gegeben, ihre Software zu verbessern. Für die ersten der 53 getesteten Apps (mit insgesamt ungefähr 600 Millionen Downloads unter Android und iOS) ist diese Frist nun abgelaufen. Von 15 bisher öffentlich genannten Apps haben nur drei – Pocket, Wunderlist und Dictionary – das Problem behoben. Nach wie vor verwundbar sind unter anderem die CNN-App, Slack, Soundcloud und Kobo.
Sicherheitslücke ist eigentlich vermeidbar
Angriffe mit roher Gewalt, bei denen ein Angreifer so schnell wie möglich zufällige Passwörter oder eine Liste mit oft verwendeten Passwörtern durchprobiert, können relativ einfach ausgebremst werden. Viele Apps stoppen dies, in dem sie die Anzahl der möglichen Versuche in einer gewissen Zeitspanne begrenzen. Das kann allerdings missbraucht werden, um legitime Nutzer auszusperren (Denial of Service). Besser noch ist ein Umstieg auf Mehrfaktor-Authentifizierung – hierbei genügt das Passwort alleine nicht mehr, um sich anzumelden.
Im letzten Jahr erregte mit Apples iCloud ein Fall einer für Brute-Force-Angriffe anfälligen App besondere Aufmerksamkeit. Die Lücke löste das sogenannte "Fappening"-Desaster aus, bei dem private Nacktfotos von Prominenten massenhaft im Internet landeten. (fab)
