Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 04/2018
  4. Aus zehntausenden Android-Apps lassen sich die Passwörter der…

Aus zehntausenden Android-Apps lassen sich die Passwörter der Entwickler auslesen

16.04.2018 17:23 Uhr Fabian A. Scherschel
vorlesen
Aus zehntausenden Android-Apps lassen sich die Passwörter der Entwickler auslesen

(Bild: BEST-BACKGROUNDS / Shutterstock.com)

Passwörter, PGP-Schlüssel, Krypto-Keys und VPN-Zugangsdaten – in zehntausenden von Android-Apps finden sich Geheimnisse der Entwickler, die eigentlich nicht öffentlich zugänglich sein sollten.

Android-Apps sind eine gute Fundgrube für Passwörter und Krypto-Schlüssel von Entwicklern, zu diesem Schluss kommt ein Sicherheitsforscher auf der Sicherheitskonferenz BSides in San Francisco. Der Forscher hatte 1,8 Millionen Android-Apps heruntergeladen und nach entsprechenden Artefakten untersucht. In knapp 20.000 Apps wurde er fündig – demnach enthalten mehr als 1 Prozent aller kostenlosen Android-Apps Passwörter, Krypto-Schlüssel oder VPN-Zugangscodes. Kostenpflichtige Apps hat sich der CERT-Forscher Will Dormann allerdings nicht angeschaut; er habe nicht das Geld, sich Millionen von kostenpflichtigen Apps anzuschauen.

Dass Entwickler massenweise interne Geheimnisse auf Quellcode-Hosting-Plattformen wie GitHub veröffentlichen, ist schon länger bekannt. Zwar sind die Daten in Android-Apps schwerer zu finden, da Android-APKs in den meisten Fällen allerdings trivial auseinander zu nehmen sind, liegt auch das Durchsuchen von Apps im Bereich des Möglichen. Den schlimmsten Fall von Schludrigkeit, den Dormann im Zuge seiner Nachforschungen fand, war ein Entwickler, der nicht nur die eigenen Entwickler-Logins für die Andoid- und iOS-Entwicklerplattformen im Code seiner App veröffentlichte, sondern auch dessen Master-Passwort.

Der Sicherheitsforscher entdeckte allerdings auch Apps, bei denen eingebaute geheime Daten nicht aus Nachlässigkeit oder Faulheit im Code fest verankert waren. Manche Entwickler versuchten offensichtlich, diese Daten in Bildern oder zusätzlichen APK-Paketen zu verstecken – in diesen Fällen kann man eindeutig Absicht unterstellen. Auffällig war auch das Entwickler-Tool Appinventor, welches laut Dormann standardmäßig private Krypto-Schlüssel fest in den Quellcode verbaut. Und auch wenn Schlüssel in dafür vorgesehenen Krypto-Bibliotheken wie Bouncy Castle gespeichert werden, kommt es zu Problemen, wenn Entwickler schwache Master-Passwörter verwenden. Dem Sicherheitsforscher gelang es, viele dieser Master-Passwörter mit gängigen Passwort-Crackern herauszufinden.

tipps+tricks zum Thema:

  • Virenscanner für Android - brauche ich das?
(fab)

Kommentare lesen (39 Beiträge)

Forum zum Thema: Verschlüsselung

https://heise.de/-4025196 Drucken
Mehr zum Thema:
Android Apps Kryptographie Passwörter Verschlüsselung
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal (CKEditor)

Cisco-Produkte

Oracle Critical Patch Update

Update
Anzeige
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • Geldanlage: von Mensch und Maschine profitieren
  • DSGVO: Was nach dem 25. Mai noch zu tun ist
  • Special: DSGVO Ratgeber
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Re: Google ist ja so toll!
    Es dürfte jedenfalls im Interesse von Google sein, möglichst viele Daten abzugreifen, und sicher kein Fehler, andere nicht daran teilhaben zu…

    Forum:  Android P verschlüsselt DNS-Anfragen

    Avatar von Nalathni
    von Nalathni; vor 5 Minuten
  2. Re: Mit Magisk-Root geht das auch jetzt schon recht problemlos
    Knarzling schrieb am 19.04.2018 20:51: Was soll sie sonst abfragen? Die aktuelle Nachrichtenfrequenz von der Times, Al Jazzera und Spiegel…

    Forum:  Android P verschlüsselt DNS-Anfragen

    crade hat keinen Avatar
    von crade; vor 25 Minuten
  3. Und der Kunde hat mal wieder den Aufwand und Stress
    Das Zertifizierungsystem ist völlig defekt. Die einen wollen nur Geld ohne Ende scheffeln für eine automatisierte Leistung - mein OpenSSL kann…

    Forum:  Chrome 66 warnt vor Webseiten mit Symantec-Zertifikaten

    mopel hat keinen Avatar
    von mopel; vor einer Stunde
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 2409485
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien