Android-Apps sind eine gute Fundgrube für Passwörter und Krypto-Schlüssel von Entwicklern, zu diesem Schluss kommt ein Sicherheitsforscher auf der Sicherheitskonferenz BSides in San Francisco. Der Forscher hatte 1,8 Millionen Android-Apps heruntergeladen und nach entsprechenden Artefakten untersucht. In knapp 20.000 Apps wurde er fündig – demnach enthalten mehr als 1 Prozent aller kostenlosen Android-Apps Passwörter, Krypto-Schlüssel oder VPN-Zugangscodes. Kostenpflichtige Apps hat sich der CERT-Forscher Will Dormann allerdings nicht angeschaut; er habe nicht das Geld, sich Millionen von kostenpflichtigen Apps anzuschauen.
Dass Entwickler massenweise interne Geheimnisse auf Quellcode-Hosting-Plattformen wie GitHub veröffentlichen, ist schon länger bekannt. Zwar sind die Daten in Android-Apps schwerer zu finden, da Android-APKs in den meisten Fällen allerdings trivial auseinander zu nehmen sind, liegt auch das Durchsuchen von Apps im Bereich des Möglichen. Den schlimmsten Fall von Schludrigkeit, den Dormann im Zuge seiner Nachforschungen fand, war ein Entwickler, der nicht nur die eigenen Entwickler-Logins für die Andoid- und iOS-Entwicklerplattformen im Code seiner App veröffentlichte, sondern auch dessen Master-Passwort.
Der Sicherheitsforscher entdeckte allerdings auch Apps, bei denen eingebaute geheime Daten nicht aus Nachlässigkeit oder Faulheit im Code fest verankert waren. Manche Entwickler versuchten offensichtlich, diese Daten in Bildern oder zusätzlichen APK-Paketen zu verstecken – in diesen Fällen kann man eindeutig Absicht unterstellen. Auffällig war auch das Entwickler-Tool Appinventor, welches laut Dormann standardmäßig private Krypto-Schlüssel fest in den Quellcode verbaut. Und auch wenn Schlüssel in dafür vorgesehenen Krypto-Bibliotheken wie Bouncy Castle gespeichert werden, kommt es zu Problemen, wenn Entwickler schwache Master-Passwörter verwenden. Dem Sicherheitsforscher gelang es, viele dieser Master-Passwörter mit gängigen Passwort-Crackern herauszufinden.
tipps+tricks zum Thema:
(fab)