Drei Forscher der Columbia University in New York haben ein Tool programmiert, das Millionen Apps im Play Store auf Sicherheitslücken untersucht. Das Ergebnis ist fatal ausgefallen, denn viele App-Entwickler weigern sich die vorgegebenen API-Schnittstellen zu benutzen und Tokens für soziale Netzwerke werden direkt in den Quellcode integriert.
Auch interessant: Student bringt Gegenmittel für Verschlüsselungstrojaner “Simplelocker” heraus
Garcia, Nieh und Viennot, so heißen die drei Informatiker, haben mit Hilfe von diversen OpenSource-Projekten wie Ruby, Git und Elastic Search ein Tool Namens PlayDrone entwickelt, mit dem es möglich ist die Sicherheitslücken von unzähligen Apps im Play Store einfach aufzudecken. Dabei werden vor allem die Zugangs-Tokens für unterschiedliche Cloud-Services oder soziale Netzwerke genau untersucht.
APK-Dateien können schnell dekompiliert werden
Möglich ist dies natürlich nur, wenn man die kompilierten APK-Dateien dekompiliert und sich den Quellcode der Apps ansieht. Während viele glauben, dass das dekompilieren von Programmen sehr aufwendig bis gar nicht möglich ist, beweist PlayDrone hier ein komplettes Gegenteil. Nach wenigen Vorgängen steht der Quellcode vollkommen zur Einsicht und kann auf Sicherheitslücken untersucht werden, was im Falle dieses Services auch automatisiert abläuft. Rund 880.000 Apps wurden auf diese Weise untersucht und dabei wurden eine Menge Tokens für Twitter, Facebook und OAuth-Tokens gefunden. Fünf Monate später wurde das Ganze wiederholt und zwischen 71 und 95 Prozent waren die Tokens nach wie vor gültig.
Fatal fiel das Ergebnis der Untersuchung für den Dienst Airbnb aus. Dort wurde die Konfiguration der Tokens derartig mies durchgeführt, dass Angreifer ohne großen Aufwand die Daten von Millionen Nutzern auslesen konnten und das Netzwerk ganz einfach in ein Botnetz verwandeln könnten.
Enorme Sicherheitsrisiken in Apps
Als Resümee geben die Forscher an, dass die Sicherheitsmaßnahmen im Google Play Store katastrophal sind. Viele Entwickler von Apps wollen sich schlicht und ergreifend nicht an die von Google oder anderen Services zur Verfügung gestellten Dokumentationen und deren APIs halten. So werden zum Beispiel oft aus Faulheit Probleme auf eigene Faust gelöst, welche große Sicherheitsprobleme mit sich bringen. Damit solche riesigen Sicherheitsprobleme nicht mehr oder zumindest seltener vorkommen, haben die Forscher PlayDrone offen zur Verfügung gestellt. Damit können App-Entwickler ihre Anwendung auf Sicherheitslücken überprüfen. Auch Google könnte den Service künftig zum Verifizieren von Apps einsetzen.
Quelle: Columbia