{"id":3975,"date":"2014-09-18T14:31:21","date_gmt":"2014-09-18T14:31:21","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=3975"},"modified":"2020-02-26T18:36:12","modified_gmt":"2020-02-26T16:36:12","slug":"dsicherheitsluecken-in-beliebten-android-apps","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/dsicherheitsluecken-in-beliebten-android-apps\/3975\/","title":{"rendered":"Dutzende beliebter Android-Apps enth\u00fcllen vertrauliche Daten der Anwender"},"content":{"rendered":"<p>Eine Forschergruppe der <a href=\"http:\/\/www.unhcfreg.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Cyber Forensics Research and Education Group von der University of New Haven<\/a> hat Sicherheitsl\u00fccken in mehreren beliebten Android-Apps entdeckt, unter anderem in Apps von Instagram, Vine, OKCupid und anderen. Die Fehler k\u00f6nnten vertrauliche Informationen von etwa 968 Millionen Anwendern preisgeben, die die betroffenen Apps auf ihren <a href=\"https:\/\/www.kaspersky.com\/blog\/fakeid-scanner\/\" target=\"_blank\" rel=\"noopener nofollow\">Android-Ger\u00e4ten<\/a> installiert haben.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2014\/09\/06133515\/1-1.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-3979 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2014\/09\/06133515\/1-1.png\" alt=\"Android-Apps\" width=\"640\" height=\"480\"><\/a><\/p>\n<p>Mein Kollege Chris Brook von Threatpost <a href=\"https:\/\/threatpost.com\/privacy-vulnerabilities-in-popular-android-apps-disclosed\/108163\" target=\"_blank\" rel=\"noopener nofollow\">berichtete<\/a>, dass die meisten der L\u00fccken, die von den Forschern in einer Reihe von YouTube-Videos enth\u00fcllt wurden, davon kommen, dass <a href=\"https:\/\/www.kaspersky.com\/blog\/whos-using-encryption-whos-not\/\" target=\"_blank\" rel=\"noopener nofollow\">unverschl\u00fcsselte Daten<\/a> auf den Servern gespeichert werden, die die anf\u00e4lligen Apps kontrollieren.<\/p>\n<div class=\"pullquote\">\u201eAuch wenn die \u00fcber diese Apps gesendeten Daten sicher von einer Person zur anderen kommen sollen, haben wir herausgefunden, dass die private Kommunikation von anderen eingesehen werden kann, da die Daten nicht verschl\u00fcsselt werden und die Anwender das nicht wissen.\u201c<\/div>\n<p>\u201eJeder, der die getesteten Apps nutzte oder noch nutzt, l\u00e4uft Gefahr, dass seine Daten gestohlen werden \u2013 in manchen F\u00e4llen geh\u00f6ren auch Passw\u00f6rter zu diesen Daten\u201c, so Abe Baggili, Assistant Professor of Computer Science des Tagliatela College of Engineering der Universit\u00e4t und Chef von cFREG.<\/p>\n<p>Laut Threatpost enth\u00fcllt die Direct-Messaging-Funktion von Instagram Fotos, die zwischen Nutzern geteilt und dabei unverschl\u00fcsselt auf den Instagram-Servern gespeichert werden. Die Forscher konnten auch bestimmte Stichworte \u00fcber HTTP ausspionieren, wodurch sie bestimmte Informationen, die von den Anwendern auf einer Dating-Plattform geteilt wurden, abrufen konnten. Die Video-Chat App ooVoo enthielt im Grunde die gleiche Sicherheitsl\u00fccke wie die Instagram-Direct-App. Das Fehlen einer vollen Verschl\u00fcsselung bei Instagram ist ein Problem, das wir in unserem Blog <a href=\"https:\/\/www.kaspersky.com\/blog\/instagram_mobile_lacks_encryption\/\" target=\"_blank\" rel=\"noopener nofollow\">schon behandelt haben<\/a>.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/FXQovCf-PfA?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>Drei weitere Apps f\u00fcr kostenlose Anrufe und Messaging \u2013 Tango, Nimbuzz und Kik \u2013 enthalten Fehler, \u00fcber die die Forscher Bilder, Aufenthaltsorte und Videos stehlen konnten. Und auch Nimbuzz wurde erwischt: Die App speichert Anwenderpassworte im Klartext.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/-SIuY9W6oBc?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>MeetMe, MessageMe und TextMe senden Informationen ebenfalls als unverschl\u00fcsselten Text, so dass Angreifer die M\u00f6glichkeit haben, die Kommunikation aller Nutzer abzuh\u00f6ren, die die App in einem lokalen Netzwerk nutzen. Versendete sowie empfangene Bilder, aber auch Ortungsdaten k\u00f6nnen ebenfalls im Klartext ausgelesen werden. Die Forscher konnten zudem eine TextMe-Datenbank einsehen, in der Login-Daten im Klartext gespeichert sind.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/-8diGT0Dx-8?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>Grindr, HeyWire, Hike und TextPlus enthalten grunds\u00e4tzlich die gleichen Fehler. Nachrichten, Bilder und geteilte Aufenthaltsorte k\u00f6nnen ganz einfach gestohlen werden, indem Angreifer Tools wie WireShark nutzen. Zudem blieben Bilder, die per Grindr, HeyWire und TextPlus gesendet wurden, auf den Servern im Klartext gespeichert und man konnte wochenlang mit Authentifizierung darauf zugreifen.<\/p>\n<p>\u201eMit HeliumBackup, einem Backup-Extraktor f\u00fcr Android, konnten wir Zugriff auf die Android-Backup-Datei von TextPlus erhalten\u201c, so einer der Forscher. \u201eAls wir diese \u00f6ffneten, bemerkten wir, dass darin Screenshots der Nutzer-Aktionen vorhanden waren, die wir nicht gemacht hatten. Wir wissen nicht, zu welchem Zweck diese Screenshots gemacht oder warum sie auf dem Ger\u00e4t gespeichert werden.\u201c<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/uIqMgqdn31s?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>Im letzten Video pr\u00fcften die Forscher, welche Apps vertrauliche Daten im App-Speicher ablegen. TextPlus, Nimbuzz und TextMe speichern Logindaten im Klartext. Zudem speichern diese drei Apps, sowie die Apps MeetMe, SayHi, ooVoo, Kik, Hike, MyChat, WeChat, HeyWire, GroupMe, LINE, Whisper, Vine, Voxer und Words With Friends Chat-Logs im Klartext.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/Lgc9vwgQgBc?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>\u201eAuch wenn die \u00fcber diese Apps gesendeten Daten sicher von einer Person zur anderen kommen sollen, haben wir herausgefunden, dass die private Kommunikation von anderen eingesehen werden kann, da die Daten nicht verschl\u00fcsselt werden und die Anwender das nicht wissen\u201c, so Baggili.<\/p>\n<p>Die Forscher versuchten, die Entwickler der Apps zu informieren, fanden aber nur Kontaktformulare f\u00fcr den Support und hatten keine direkte Kontaktm\u00f6glicheit. In einem E-Mail-Interview konnte Abe Biggili nicht sagen, ob einer der Fehler, die er und sein Team entdeckt haben, schon von den App-Herstellern behoben wurde.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>L\u00fccken f\u00fcr #Privatsph\u00e4re in Dutzenden #Android-Apps, da keine #Verschl\u00fcsselung genutzt wird:<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FTY5q&amp;text=L%C3%BCcken+f%C3%BCr+%23Privatsph%C3%A4re+in+Dutzenden+%23Android-Apps%2C+da+keine+%23Verschl%C3%BCsselung+genutzt+wird%3A\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Wir haben Instagram kontaktiert, doch das Unternehmen hat bisher nicht auf unsere Bitte um einen Kommentar reagiert.<\/p>\n<p>Es ist nicht klar, ob die Entwickler der genannten Apps planen, die beschriebenen Sicherheitsl\u00fccken zu schlie\u00dfen.<\/p>\n<p><a href=\"http:\/\/www.cnet.com\/news\/researchers-find-data-leaks-in-instagram-grindr-oovoo-and-more\/\" target=\"_blank\" rel=\"noopener nofollow\">CNET<\/a> kontaktierte Instagram, Kik und Grindr. Instagram sagt, dass volle Verschl\u00fcsselung in der Android-App eingef\u00fchrt wird, die das Problem l\u00f6sen wird. Kik sagt, es werde daran gearbeitet, geteilte Inhalte zu verschl\u00fcsseln, allerdings sollen Chat-Logs nicht verschl\u00fcsselt werden, da diese isoliert sind und darauf nicht zwischen Apps zugegriffen werden kann. Diese Art der Datenspeicherung sei der Standard, so das Unternehmen weiter. Grindr sagte nur, dass Sicherheitsberichte wie der vorliegende gelesen werden und das Unternehmen \u00c4nderungen vornimmt, wenn es diese f\u00fcr sinnvoll h\u00e4lt.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Viele beliebte Android-Apps gef\u00e4hrden die Daten der Anwender, denn die App-Entwickler haben keine volle Verschl\u00fcsselung implementiert.<\/p>\n","protected":false},"author":214,"featured_media":3979,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[55,57,130,1653,156],"class_list":{"0":"post-3975","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-android","10":"tag-mobile-sicherheit","11":"tag-privatsphare","12":"tag-security","13":"tag-verschlusselung"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/dsicherheitsluecken-in-beliebten-android-apps\/3975\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/3975","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/214"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=3975"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/3975\/revisions"}],"predecessor-version":[{"id":22854,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/3975\/revisions\/22854"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/3979"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=3975"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=3975"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=3975"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}