6. März 2021, 14:03 Uhr | Lesezeit: 3 Minuten
Ein Bericht zeigt, dass zahlreiche Apps persönliche Nutzerdaten durch falsche Cloud-Konfigurationen freigeben. Darunter Namen und E-Mail-Adressen, Passwörter und sogar medizinische Informationen.
Wenn Unternehmen Daten in der Cloud speichern, besteht immer die Gefahr, dass eine undichte Stelle auftritt. In den meisten Fällen sind die Daten bei den großen Cloud-Anbietern wie Amazon, Microsoft, Google und Alibaba recht sicher. Das Problem liegt stattdessen oft an der Schnittstelle der Unternehmensinfrastruktur zur Cloud. Sind die lokalen Unternehmensserver nicht richtig geschützt, macht das auch die Cloud-Daten angreifbar – und Apps unsicher.
Mehr als 18.000 unsichere Apps gefunden
Die Internet-Sicherheitsfirma „Zimperium“ hat nun herausgefunden, dass von diesem Problem auch zahlreiche Apps für iOS und Android betroffen sind, wie das Magazin „Wired“ berichtet. Das Unternehmen hat mit einem automatisierten Verfahren mehr als 1,3 Millionen Apps gescannt. Gesucht hat es dabei nach bekannten Konfigurationsfehlern beim Einrichten der Cloud. Sind die Unternehmen nicht sorgsam genug im Umgang mit Sicherheitsmaßnahmen, machen sie Cloud-Daten damit angreifbar.
10 Prozent der gescannten Apps – ingesamt etwa 131.000 – greifen auf Cloud-Dienste zurück. Die Sicherheitsforscher haben herausgefunden, dass davon 14 Prozent falsch konfigurierte Cloud-Einstellungen haben. Insgesamt sind 11.877 Android-Apps und 6608 iOS-Apps betroffen.
Für Shridhar Mittal, CEO von Zimperium, sind diese Ergebnisse erschreckend. Gegenüber Wired sagte er: „Viele dieser Apps haben Cloud-Speicher, der nicht richtig von dem Entwickler, oder wer auch immer die Einrichtung vornimmt, konfiguriert wurde. Und deswegen sind die Daten für so ziemlich jeden sichtbar. Und die meisten von uns haben diese Apps momentan installiert.“
Auch interessant: Experten stufen zahlreiche Speed-Messer-Apps als unsicher ein
Wie sicher sind Ihre Fotos bei WhatsApp?
Diese 25 Android-Geräte sind schon ab Werk unsicher
Dutzende beliebte Android-Apps sind virenverseucht
Auch weit verbreitete Apps können unsicher sein
Die Forscher haben sich eigenen Angaben zufolge an die betroffenen Unternehmen gewandt. Die meisten hätten sich jedoch nicht zurückgemeldet und damit weiter ungeschützte Daten. Aus diesem Grund nennt Zimperium nicht die betroffenen Apps. Unter den gescannten Apps seien aber auch welche, die mehrere Millionen Nutzende haben. Eine davon ist eine digitale Geldbörse, die von einem Fortune-500-Unternehmen entwickelt wird. Die App leakt Daten über Nutzersitzungen und Finanzen. Bei einer anderen handelt es sich um die offizielle Verkehrsmittel-App einer großen Stadt. Die App legt Zahlungsinformationen offen. Eine weitere, medizinische App zeigt Testergebnisse und Profilbilder.
Hacker können derart schlecht geschützte Informationen mit relativ einfachen Angriffen abgreifen. Zimperium zufolge seien einige Unternehmen so schlecht geschützt, dass sogar Netzwerk-Logins und Konfigurationsdateien sichtbar sind. Damit haben Angreifer leichtes Spiel, tief in die Unternehmensinfrastruktur einzugreifen.
Immerhin könnten App-Entwickler dem Problem relativ einfach entgegenwirken. In vielen Fällen würde es schon reichen, bei der Cloud-Konfiguration ein paar zusätzliche Häkchen zu setzen. In der Zwischenzeit müssen Nutzer*innen umso mehr darauf achten, welche persönlichen Informationen sie in Apps weitergeben.