Bei einer Untersuchung beliebter Tracker-Apps aus dem Google Play Store, wie sie beispielsweise von Eltern gerne genutzt werden zur Ortung oder Kontrolle ihrer Kinder, haben Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) nun erhebliche Sicherheitsmängel festgestellt. Im Ergebnis war nicht eine einzige der untersuchten Apps sicher. Die Wissenschaftler präsentierten ihre Resultate am 11. August auf der DEF CON Hacking Conference in Las Vegas.
Die Sicherheitsforscher fanden in 19 legalen Apps aus dem Google Play Store insgesamt 37 Sicherheitslücken, wobei keine der Apps sicher programmiert war. Geprüft wurde dabei, wie die sensiblen, privaten Nutzerdaten, die durch die Apps erhoben werden, geschützt sind. Gemäß den Wissenschaftlern könnten potentielle Angreifer die gefundenen Sicherheitslücken ausnutzen, um Bewegungsprofile zu erstellen, Chats und SMS-Nachrichten zu lesen und Bilder anzusehen, wobei es nicht einmal nötig ist, jedes Smartphone einzeln zu überwachen, sondern es können alle App-Nutzer zeitgleich angegriffen werden. Laut Google Play Store wurden die Apps bereits mehrere Millionen Mal installiert. Die App-Anwendung ist legal, lediglich müssen sich die so Überwachten damit einverstanden erklären.
Projektleiter Siegfried Rasthofer, der diese Untersuchung gemeinsam mit der Fraunhofer Hacking-Gruppe TeamSIK durchführte, klärt auf: „Wir mussten lediglich eine bestimmte Webseite aufrufen und einen Nutzernamen in die URL eingeben oder raten, um das Bewegungsprofil einer Person aufzurufen.“ Das war möglich, da diese Daten unverschlüsselt auf einem Server gespeichert wurden. Dort hatten die Forscher Zugriff auf komplette Bewegungsprofile aller App-Nutzer: „Damit ist eine Echtzeitverfolgung von Tausenden Menschen möglich“, verdeutlicht Rasthofer. Jedoch gehen die Zugriffe noch weit darüber hinaus, denn auch solche Inhalte, wie SMS-Nachrichten und Bilder der überwachten App-Nutzer konnten ausgelesen und ansehen werden. Selbst in Anmeldeformulare bekamen die Wissenschaftler Einblick. Bei einer App fand das Team 1.700.000 Login-Daten: „Damit ist eine komplette Überwachung möglich“, warnt Stephan Huber, Mitglied von TeamSIK und Forscher am Fraunhofer SIT.
Inzwischen haben die Sicherheitsforscher die App-Anbieter und auch den Google Play Store über die Studienergebnisse informiert, mit dem Ergebnis, dass bereits 12 der 19 untersuchten Apps entfernt wurden. Jedoch haben nicht alle Anbieter darauf reagiert.
Bildquelle: geralt, thx! (CC0 Public Domain)
https://tarnkappe.info/fraunhofer-f...che-sicherheitsluecken-in-tracker-apps/Quelle
Autor: Antonia
Originalbeitrag auf Tarnkappe.info