Android: Zehntausende Apps speichern Passwörter und Sicherheitsschlüssel im Klartext
Immer mehr Nutzer speichern einen Großteil ihres digitalen Lebens auf dem Smartphone und verwenden dazu unzählige Apps, in denen die Daten vermeintlich sicher aufgehoben sind. Das ist aber bekanntlich nur die halbe Wahrheit, denn nicht wenige Apps gaukeln nur eine vermeintliche Sicherheit vor, nehmen es dann am Ende aber doch nicht ganz so ernst damit. Eine Studie zeigt nun, dass viele Apps die Passwörter ihrer Nutzer leicht auslesbar im Klartext speichern.
Google hat in der letzten Zeit viel dafür unternommen, um Android zu einer sicherern Plattform zu machen und verbietet viele unsichere Funktionen bzw. sperrt betrügerische Apps aus. Doch alle das hilft nichts, wenn die Entwickler der „guten“ Apps entweder keine Ahnung haben oder ihnen die Sicherheit der eigenen Nutzer keinen zusätzlichen Aufwand wert ist. Eine Studie zeigt nun, dass vermeitlich sichere Apps eher noch zur Unsicherheit beitragen.
Der Sicherheitsforscher Will Dormann hat insgesamt 1,8 Millionen Android-Apps nach einer simplen Sicherheitslücke durchsucht und ist in vieeln Fällen fündig geworden: 20.000 Apps davon haben die vom Nutzer eingegebenen wichtigen Daten vollständig unverschlüsselt gespeichert. So lassen sich vom Nutzer eingegeben Passwörter, VPN-Codes oder auch PGP-Schlüssel auslesen, die in den Apps vermeintlich sicher sein sollten.
Beim genaueren Hinsehen haben die Entwickler aber sogar ihre eigene Sicherheit riskiert: In einigen Apps fanden sich die Zugangsdaten für den Google Play Store, in einem Fall war sogar ein Master-Passwort komplett unverschlüsselt zu finden. Das Problem sind aber nicht immer die Entwickler selbst, sondern meist auch die App-Baukästen, mit denen sich jeder innerhalb kürzester Zeit Apps zusammenklicken kann. Durch falsche Konfigurationen kann sowas sehr schnell passieren, ohne dass der „Entwickler“ (in Anführungszeichen) überhaupt davon weiß.
Umgekehrt kann man aber auch sagen, dass 99 Prozent der Android-Apps die Daten sicher speichern. Allerdings ist zu beachten, dass nur vergleichsweise wenige Apps überhaupt Passwörter benötigen und speichern. Ein tatsächlicher Wert ist also schwer zu errechnen. Problematisch ist das ganze vor allem deswegen, weil bekanntlich viele Nutzer überall das gleiche Passwort verwenden und so Angreifern Tür und Tor öffnen.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Sorry, aber du hast den Artikel nicht richtig verstanden.
Es geht nicht um Passwörter der App Benutzer, sondern um die Passwörter der Entwickler, die die App benötigt um sich beispielsweise mit einem Server / einer API zu verbinden.
Diese Passwörter sind in den angesprochenen Apps hardkodiert im Quellcode zu finden, weshalb sie sich durch Scannen der APKs auslesen lassen.