Latest posts
APT-Akteure nutzen Authentifizierungs-Bypass-Techniken und
Pulse Secure Zero-Day
Neu entdeckte Wi-Fi-Schwachstellen namens FragAttacks
setzen alle Mobilgeräte einem Risiko aus
Die Fehlkonfiguration mobiler Apps von Drittanbietern legt
die Daten von 100 Millionen Benutzern offen
Die Fehlkonfiguration mobiler Apps von Drittanbietern legt die Daten von 100 Millionen Benutzern offen
Trotz der offensichtlichen Vorteile moderner Cloud-basierter
Entwicklungslösungen für mobile Anwendungen – wie Cloud-Speicher,
Benachrichtigungsverwaltung, Echtzeitdatenbanken und Analysen –
versäumen es viele Entwickler dieser Lösungen, die potenziellen
Sicherheitsrisiken, die mit diesen Apps verbunden sind, angemessen
zu berücksichtigen sind falsch konfiguriert.
Vor kurzem hat Check Point Research Fehlkonfigurationen und
Implementierungsprobleme entdeckt, die die Daten von 100 Millionen
Benutzern mobiler Anwendungen offengelegt haben. Diese Art der
Exposition setzt sowohl die Benutzer als auch die App-Entwickler
dem Risiko von Reputationsbedrohungen und Sicherheitsschäden aus.
In diesem Fall ließen die Entwickler Benachrichtigungsmanager,
Speicherorte und Echtzeitdatenbanken für den Zugriff von
Angreifern offen, wodurch 100 Millionen Benutzer angreifbar
wurden.
In Bezug auf Echtzeitdatenbanken können Cloud-Dienste Benutzern
mobiler Apps dabei helfen, ihre Daten in Echtzeit mit der Cloud zu
synchronisieren. Wenn Entwickler diesen Dienst mit
Authentifizierung jedoch nicht korrekt implementieren, kann
theoretisch jeder Benutzer auf diese Datenbank zugreifen,
einschließlich aller mobilen Kundendaten. Tatsächlich zeigten sich
die Forscher überrascht darüber, dass es keine Hindernisse für den
Zugriff auf diese offenen Datenbanken für bestimmte Apps bei
Google Play gab. Einige der in diesem Fall erhältlichen Aspekte
waren neben anderen Angriffsvektoren Gerätestandorte,
E-Mail-Adressen, Passwörter, private Chats und Benutzerkennungen.
Solche Schwachstellen setzen alle diese Benutzer einem Risiko für
Betrug und Identitätsdiebstahl aus.
Tatsächlich ist die beliebte Horoskop-App Astro Guru eine App mit
solchen Schwachstellen, die möglicherweise alle Benutzer einem
Leck von persönlich identifizierbaren Informationen (PII) aussetzt
– wie Geburtsdatum, E-Mail, Geschlecht und Standort sowie
Zahlungsinformationen – nach einer aufgezeichneten Zahl von 10
Millionen Downloads.
In ähnlicher Weise ermöglichte die Taxi-App T'Leva, die bereits
mehr als 50.000 Installationen aufweist, den Forschern, die
vollständigen Namen der Benutzer sowie Telefonnummern und sowohl
Ziele als auch beabsichtigte Abholorte abzurufen, indem nur eine
Anfrage an die Datenbank gesendet wurde.
Als nächstes stellten die Forscher auch fest, dass sogar der
Push-Benachrichtigungsmanager angreifbar geworden war. Dies
bedeutet, dass jeder böswillige Akteur, der Zugriff auf den
Manager erlangen kann, den Benutzern Benachrichtigungen im Namen
des Entwicklers senden könnte.
Darüber hinaus stellt die Cloud-Speicherung dieser mobilen Apps
ein besonderes Risiko für Benutzer dar, da das Forschungsteam auch
herausfand, dass viele Entwickler sowohl die Zugriffsschlüssel als
auch die geheimen Schlüssel zu gespeicherten Daten innerhalb der
Screen Recorder-Dienstanwendung preisgegeben haben. Offensichtlich
ermöglichte eine oberflächliche Analyse der Anwendungsdatei den
Forschern, diese Schlüssel wiederherzustellen und auf
Benutzeraufzeichnungen zuzugreifen.
Schließlich haben Untersuchungen gezeigt, dass CopyCat-Malware
auch in der Lage ist, Schlüssel für gefährdete
Cloud-Speicherdienste abzurufen, was zeigt, wie böswillige
Entwickler diese Schwachstellen ebenfalls ausnutzen können.