Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 04/2018
  4. Aus zehntausenden Android-Apps lassen sich die Passwörter der…

Aus zehntausenden Android-Apps lassen sich die Passwörter der Entwickler auslesen

16.04.2018 17:23 Uhr Fabian A. Scherschel
vorlesen
Aus zehntausenden Android-Apps lassen sich die Passwörter der Entwickler auslesen

(Bild: BEST-BACKGROUNDS / Shutterstock.com)

Passwörter, PGP-Schlüssel, Krypto-Keys und VPN-Zugangsdaten – in zehntausenden von Android-Apps finden sich Geheimnisse der Entwickler, die eigentlich nicht öffentlich zugänglich sein sollten.

Android-Apps sind eine gute Fundgrube für Passwörter und Krypto-Schlüssel von Entwicklern, zu diesem Schluss kommt ein Sicherheitsforscher auf der Sicherheitskonferenz BSides in San Francisco. Der Forscher hatte 1,8 Millionen Android-Apps heruntergeladen und nach entsprechenden Artefakten untersucht. In knapp 20.000 Apps wurde er fündig – demnach enthalten mehr als 1 Prozent aller kostenlosen Android-Apps Passwörter, Krypto-Schlüssel oder VPN-Zugangscodes. Kostenpflichtige Apps hat sich der CERT-Forscher Will Dormann allerdings nicht angeschaut; er habe nicht das Geld, sich Millionen von kostenpflichtigen Apps anzuschauen.

Dass Entwickler massenweise interne Geheimnisse auf Quellcode-Hosting-Plattformen wie GitHub veröffentlichen, ist schon länger bekannt. Zwar sind die Daten in Android-Apps schwerer zu finden, da Android-APKs in den meisten Fällen allerdings trivial auseinander zu nehmen sind, liegt auch das Durchsuchen von Apps im Bereich des Möglichen. Den schlimmsten Fall von Schludrigkeit, den Dormann im Zuge seiner Nachforschungen fand, war ein Entwickler, der nicht nur die eigenen Entwickler-Logins für die Andoid- und iOS-Entwicklerplattformen im Code seiner App veröffentlichte, sondern auch dessen Master-Passwort.

Der Sicherheitsforscher entdeckte allerdings auch Apps, bei denen eingebaute geheime Daten nicht aus Nachlässigkeit oder Faulheit im Code fest verankert waren. Manche Entwickler versuchten offensichtlich, diese Daten in Bildern oder zusätzlichen APK-Paketen zu verstecken – in diesen Fällen kann man eindeutig Absicht unterstellen. Auffällig war auch das Entwickler-Tool Appinventor, welches laut Dormann standardmäßig private Krypto-Schlüssel fest in den Quellcode verbaut. Und auch wenn Schlüssel in dafür vorgesehenen Krypto-Bibliotheken wie Bouncy Castle gespeichert werden, kommt es zu Problemen, wenn Entwickler schwache Master-Passwörter verwenden. Dem Sicherheitsforscher gelang es, viele dieser Master-Passwörter mit gängigen Passwort-Crackern herauszufinden.

tipps+tricks zum Thema:

  • Virenscanner für Android - brauche ich das?
(fab)

Kommentare lesen (39 Beiträge)

Forum zum Thema: Verschlüsselung

https://heise.de/-4025196 Drucken
Mehr zum Thema:
Android Apps Kryptographie Passwörter Verschlüsselung
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal (CKEditor)

Cisco-Produkte

Oracle Critical Patch Update

Update
Anzeige
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • enterJS: Die volle Bandbreite an JavaScript-Wissen
  • Unter der Lupe: Hardware für den Endgeräteschutz
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • DSGVO: Was nach dem 25. Mai noch zu tun ist
  • Special: DSGVO Ratgeber
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Re: ...lässt sich also die Switch bald gleich angenehm benutzen wie die Wii?!?
    Maninini schrieb am 24.04.2018 13:20: Download-Spiele werden immer intern installiert. Die SD-Karte kann nur als Auslagerungsspeicher genutzt…

    Forum:  Veröffentlichter Boot-Exploit knackt alle Nintendo-Switch-Konsolen

    omniscient hat keinen Avatar
    von omniscient; vor 23 Minuten
  2. Re: Naja, eigentlich hätte Microsoft locker das Geld um selbst nach Lücken zu su
    So ein Quark, MS Bug Bounty - gefundene Sicherheitslücken u.a. in Win10 werden mit bis zu 250.000 US-Dollar belohnt je nach Kategorie und die…

    Forum:  Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke

    pakebuschr hat keinen Avatar
    von pakebuschr; vor 35 Minuten
  3. Re: "Keine Schonfrist für Microsoft"
    Die 90 Tage können sicher manchmal ziemlich knapp sein bei einem umfangreichen OS und Patches müssen auch erstmal getestet werden/können auch…

    Forum:  Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke

    pakebuschr hat keinen Avatar
    von pakebuschr; vor 43 Minuten
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 2409485
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien