Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Smartphone

Viele Tracker-Apps, mit denen beispielsweise Eltern ihre Kinder orten können, haben gravierende Sicherheitslücken. Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie haben beliebte Tracker-Apps aus dem Google Play Store untersucht – das Ergebnis: Keine einzige davon war sicher programmiert, alle hatten teils gravierende Schwachstellen.

Angreifer können diese ausnutzen, um Bewegungsprofile zu erstellen, Chats und SMS-Nachrichten zu lesen und Bilder anzusehen. Besonders brisant: Angreifer müssen nicht jedes Smartphone einzeln überwachen, sondern können zeitgleich Millionen von Nutzern angreifen, die diese Apps auf ihrem Smartphone installiert haben. Zum ersten Mal vorgestellt haben die Wissenschaftler ihre Ergebnisse am 11. August auf der DEF CON Hacking Conference in Las Vegas.

Mit sogenannten Monitoring- oder Tracker-Apps können Smartphone-Nutzer überwacht werden. Beispielsweise nutzen Eltern eine solche App, um jederzeit zu wissen, wo sich ihre Kinder befinden oder welche Nachrichten und Bilder sie verschicken. Die Nutzung dieser Apps ist legal, sofern der oder die Ausspionierte damit einverstanden ist. Wissenschaftler des Fraunhofer SIT haben 19 legale Apps, die im Google Play Store angeboten werden, untersucht. Die Apps wurden laut Google mehrere Millionen Mal installiert. Die Wissenschaftler haben geprüft, wie die hochsensiblen Nutzerdaten, die diese Apps erheben, geschützt sind. Das Ergebnis: Alle Apps haben gravierende Schwachstellen, keine einzige Anwendung war sicher programmiert. Insgesamt haben die Forscher 37 Sicherheitslücken gefunden.

Die hochsensiblen Daten werden meist im Klartext auf einem Server abgespeichert, ohne durch korrekte Verschlüsselung abgesichert zu sein. „Wir mussten lediglich eine bestimmte Webseite aufrufen und einen Nutzernamen in die URL eingeben oder raten, um das Bewegungsprofil einer Person aufzurufen“, erklärt Fraunhofer-Projektleiter Siegfried Rasthofer, der gemeinsam mit der Fraunhofer Hacking-Gruppe TeamSIK die Apps untersucht hat. Die Forscher fanden auf den Servern nicht nur Daten einzelner Personen, sondern konnten von allen Nutzern dieser Apps komplette Bewegungsprofile auslesen, die ungesichert auf einem Server gespeichert waren. „Damit ist eine Echtzeitverfolgung von Tausenden Menschen möglich“, sagt Rasthofer. Über die unsicher programmierten Apps können Angreifer nicht nur Metadaten wie Aufenthaltsorte abrufen, sondern auch Inhalte wie SMS-Nachrichten und Bilder der überwachten App-Nutzer lesen und ansehen. „Damit ist eine komplette Überwachung möglich“, erklärt Stephan Huber, Mitglied von TeamSIK und Forscher am Fraunhofer SIT.

Darüber hinaus ist es den Wissenschaftlern gelungen, die Anmeldeinformationen der App-Nutzer auszulesen. Auch diese waren bei den meisten Apps unverschlüsselt gespeichert oder nur mit völlig ungenügender Verschlüsselung gesichert – das Team um Siegfried Rasthofer und Stephan Huber hatte beispielhaft bei einer App 1.700.000 Login-Daten gefunden. Die Fraunhofer-Wissenschaftler haben die App-Anbieter sowie den Google Play Store über ihre Entdeckungen informiert. 12 der 19 untersuchten Apps sind inzwischen aus dem Play Store entfernt worden. Andere Anbieter hingegen haben gar nicht reagiert.

Mehr Informationen über das Forscherteam und ihre Ergebnisse gibt es hier.
 

GRID LIST
Händeschütteln zum Vertragsabschluss

IPG gewinnt die öffentliche Ausschreibung für die IAM-Lösung der ÖBB

Die auf Identitäts-, Zugriffs- und Governance-Lösungen spezialisierte IPG-Gruppe gewinnt…
Tb W190 H80 Crop Int 252f32de461ffaaac7f6f5fb5c69077d

Mimecast hat neuen Leiter in der EMEA-Region

Mimecast Limited (NASDAQ: MIME) gibt die Ernennung von Brandon Bekker zum Senior Vice…
Mobile Banking

Mobile Banking auf dem Vormarsch

Mobile Bankdienstleistungen werden für Verbraucher in Deutschland und Europa immer…
Tb W190 H80 Crop Int 75f01ee2e42059a06c68b9df948c48c7

Neue Konkurrenz für Schufa und Co.

Das Wissen über Zahlungsfähigkeit ist wertvoll - und bisher Territorium weniger…
Informatiker

Fachkräftemangel: Informatiker sind gefragt wie nie

Die Nachfrage nach Informatikern hat im vergangenen Jahr einen neuen Höchststand…
Datenverlust - Search Bar

Daten im Internet halten doch nicht ewig

Daten im Internet bestehen nicht ewig. Die gespeicherten Inhalte von Nutzern gehen früher…