Menü
Security

FTC bestraft flapsige App-Sicherheit

Die Hersteller der Apps Fandango und Credit Karma haben sich dazu verpflichtet, regelmäßig unabhängige Sicherheitsprüfungen durchführen und neue Sicherheitsvorkehrungen einzurichten. Beide Apps hatten SSL-Zertifikate nicht richtig überprüft.

vorlesen Drucken Kommentare lesen 7 Beiträge

Die US-amerikanische Federal Trade Commission (FTC) hat sich in zwei Verfahren mit Herstellern von Smartphone-Apps geeinigt. Die Handelskommission hatte den Herstellern Fandango und Credit Karma vorgeworfen, SSL-Zertifikate nicht richtig zu überprüfen und ihre Nutzer darüber im Dunkeln zu lassen. Als Teil der Einigung müssen die beiden Firmen in den nächsten 20 Jahren regelmäßig unabhängige Sicherheitsprüfungen durchführen und neue Sicherheitsvorkehrungen als Teil ihrer Arbeitsprozesse einrichten.

Die Film-App Fandango hatte laut FTC ihren Kunden beim Einkauf von Tickets versichert, ihre Informationen würden über eine abgesicherte Verbindung verschickt, dann aber die Verbindungen nicht entsprechend geprüft. Durch mangelhafte Organisation im Umgang mit Hinweisen auf Sicherheitslücken habe die Firma es versäumt, auf die Warnung eines Sicherheitsforschers zu reagieren.

Auch Credit Karma habe es versäumt, SSL-Zertifikate richtig zu prüfen. Sowohl bei der iOS-App des Unternehmens als auch bei der entsprechenden Android-Version. Der SSL-Prüfcode sei während der Entwicklung deaktiviert und versehentlich nicht wieder eingeschaltet worden. Des weiteren habe man geheime Daten der Nutzer im Klartext auf deren Geräten gespeichert.

Die beiden Apps sind bei weitem kein Einzelfall. Kürzlich veröffentlichte Studien zur Sicherheit von Andoid- und iOS-Apps zeigen, dass viele der Programme bei SSL-Verschlüsselung schlampen. Das Signal der FTC sollte also einige Entwickler aufhorchen lassen.

Die FTC hat in den USA die Aufgabe, Verbraucher vor unfairen und täuschenden Praktiken von Unternehmen zu schützen und besitzt in diesem Feld weitreichende Weisungskompetenzen. (fab)