Info: Preisgegebene Schlüssel


20. Juni 2014

Forscher der Columbia Universität in New York haben hunderttausende Android-Apps des Google App Stores untersucht und dabei Berichten zufolge nachweisen können, dass offenbar eine große Zahl von App Entwicklern eigentlich geheime Zugangsschlüssel (Token) direkt in den Quellcode der von ihnen entwickelten Apps implementieren.

Besonders gefährlich ist diese Vorgehensweise, da solcherart eingebettete Zugangsdaten z.B. das unbefugte Nutzen von Server-VMs erlauben und somit die Tür öffnen, um z.B. mit einem erbeutetem Token eMails und Freundeslisten von Millionen von Facebook-Nutzern einsehen könnte. Zumindest einige größere Dienste haben mit Blick auf diverse Veröffentlichungen zwischenzeitlich offenbar wohl reagiert; die betroffenen Entwickler informiert und die offengelegten Zugangsdaten gesperrt.

Blamabel für die App-Entwickler ist dabei, dass das Problem durchaus vermeidbar wäre, wenn bei der App-Entwicklung auf empfohlene Umsetzungswege gesetzt werden würde. Augenscheinlich führt aber Bequemlichkeit bei der Programmierung der Apps oder einfach nur Unwissenheit zu dieser Art der sicher ungewollten aber eben ermöglichten Weitergabe geheimer Schlüssel.

Als Nutzer betroffener Android-Apps haben Sie leider eigentliche keine Handlungsmöglichkeit – Sie werden die Probleme in direkter Form weder bekämpfen können und eher auch nicht sofort oder überhaupt nicht bemerken. Sie müssen auf den verantwortungsvollen Umgang der App-Entwickler mit den Programmiertechniken hoffen und gegebenenfalls auch auf regulierende Maßnahmen der betroffenen Dienstleister wie Microsoft, Facebook, Google+ & Co. …

© rba-Südbaden