Dutzende beliebter Android-Apps enthüllen vertrauliche Daten der Anwender

18 Sep 2014

Eine Forschergruppe der Cyber Forensics Research and Education Group von der University of New Haven hat Sicherheitslücken in mehreren beliebten Android-Apps entdeckt, unter anderem in Apps von Instagram, Vine, OKCupid und anderen. Die Fehler könnten vertrauliche Informationen von etwa 968 Millionen Anwendern preisgeben, die die betroffenen Apps auf ihren Android-Geräten installiert haben.

Android-Apps

Mein Kollege Chris Brook von Threatpost berichtete, dass die meisten der Lücken, die von den Forschern in einer Reihe von YouTube-Videos enthüllt wurden, davon kommen, dass unverschlüsselte Daten auf den Servern gespeichert werden, die die anfälligen Apps kontrollieren.

„Auch wenn die über diese Apps gesendeten Daten sicher von einer Person zur anderen kommen sollen, haben wir herausgefunden, dass die private Kommunikation von anderen eingesehen werden kann, da die Daten nicht verschlüsselt werden und die Anwender das nicht wissen.“

„Jeder, der die getesteten Apps nutzte oder noch nutzt, läuft Gefahr, dass seine Daten gestohlen werden – in manchen Fällen gehören auch Passwörter zu diesen Daten“, so Abe Baggili, Assistant Professor of Computer Science des Tagliatela College of Engineering der Universität und Chef von cFREG.

Laut Threatpost enthüllt die Direct-Messaging-Funktion von Instagram Fotos, die zwischen Nutzern geteilt und dabei unverschlüsselt auf den Instagram-Servern gespeichert werden. Die Forscher konnten auch bestimmte Stichworte über HTTP ausspionieren, wodurch sie bestimmte Informationen, die von den Anwendern auf einer Dating-Plattform geteilt wurden, abrufen konnten. Die Video-Chat App ooVoo enthielt im Grunde die gleiche Sicherheitslücke wie die Instagram-Direct-App. Das Fehlen einer vollen Verschlüsselung bei Instagram ist ein Problem, das wir in unserem Blog schon behandelt haben.

Drei weitere Apps für kostenlose Anrufe und Messaging – Tango, Nimbuzz und Kik – enthalten Fehler, über die die Forscher Bilder, Aufenthaltsorte und Videos stehlen konnten. Und auch Nimbuzz wurde erwischt: Die App speichert Anwenderpassworte im Klartext.

MeetMe, MessageMe und TextMe senden Informationen ebenfalls als unverschlüsselten Text, so dass Angreifer die Möglichkeit haben, die Kommunikation aller Nutzer abzuhören, die die App in einem lokalen Netzwerk nutzen. Versendete sowie empfangene Bilder, aber auch Ortungsdaten können ebenfalls im Klartext ausgelesen werden. Die Forscher konnten zudem eine TextMe-Datenbank einsehen, in der Login-Daten im Klartext gespeichert sind.

Grindr, HeyWire, Hike und TextPlus enthalten grundsätzlich die gleichen Fehler. Nachrichten, Bilder und geteilte Aufenthaltsorte können ganz einfach gestohlen werden, indem Angreifer Tools wie WireShark nutzen. Zudem blieben Bilder, die per Grindr, HeyWire und TextPlus gesendet wurden, auf den Servern im Klartext gespeichert und man konnte wochenlang mit Authentifizierung darauf zugreifen.

„Mit HeliumBackup, einem Backup-Extraktor für Android, konnten wir Zugriff auf die Android-Backup-Datei von TextPlus erhalten“, so einer der Forscher. „Als wir diese öffneten, bemerkten wir, dass darin Screenshots der Nutzer-Aktionen vorhanden waren, die wir nicht gemacht hatten. Wir wissen nicht, zu welchem Zweck diese Screenshots gemacht oder warum sie auf dem Gerät gespeichert werden.“

Im letzten Video prüften die Forscher, welche Apps vertrauliche Daten im App-Speicher ablegen. TextPlus, Nimbuzz und TextMe speichern Logindaten im Klartext. Zudem speichern diese drei Apps, sowie die Apps MeetMe, SayHi, ooVoo, Kik, Hike, MyChat, WeChat, HeyWire, GroupMe, LINE, Whisper, Vine, Voxer und Words With Friends Chat-Logs im Klartext.

„Auch wenn die über diese Apps gesendeten Daten sicher von einer Person zur anderen kommen sollen, haben wir herausgefunden, dass die private Kommunikation von anderen eingesehen werden kann, da die Daten nicht verschlüsselt werden und die Anwender das nicht wissen“, so Baggili.

Die Forscher versuchten, die Entwickler der Apps zu informieren, fanden aber nur Kontaktformulare für den Support und hatten keine direkte Kontaktmöglicheit. In einem E-Mail-Interview konnte Abe Biggili nicht sagen, ob einer der Fehler, die er und sein Team entdeckt haben, schon von den App-Herstellern behoben wurde.

Wir haben Instagram kontaktiert, doch das Unternehmen hat bisher nicht auf unsere Bitte um einen Kommentar reagiert.

Es ist nicht klar, ob die Entwickler der genannten Apps planen, die beschriebenen Sicherheitslücken zu schließen.

CNET kontaktierte Instagram, Kik und Grindr. Instagram sagt, dass volle Verschlüsselung in der Android-App eingeführt wird, die das Problem lösen wird. Kik sagt, es werde daran gearbeitet, geteilte Inhalte zu verschlüsseln, allerdings sollen Chat-Logs nicht verschlüsselt werden, da diese isoliert sind und darauf nicht zwischen Apps zugegriffen werden kann. Diese Art der Datenspeicherung sei der Standard, so das Unternehmen weiter. Grindr sagte nur, dass Sicherheitsberichte wie der vorliegende gelesen werden und das Unternehmen Änderungen vornimmt, wenn es diese für sinnvoll hält.