Cloud-Datenbanken wie Facebooks Parse und Amazons AWS weisen nach einer Überprüfung 56 Mio. ungeschützte Datensätze auf. Experten der Technischen Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie haben E-Mail-Adressen, Passwörter, Gesundheitsdaten und andere sensible Informationen von App-Benutzern geprüft, die leicht gestohlen und manipuliert werden können.

Bei alledem sind auch Nutzer in der Verantwortung. App-Entwickler nämlich verwenden Cloud-Datenbanken, um Nutzerdaten zu speichern, ignorieren aber oft die Sicherheitsempfehlungen der Cloud-Anbieter, wie die Analyse zeigt. Für die User und deren Online-Accounts stellt dies eine potenzielle Bedrohung dar, denn sie sind durch Identitätsdiebstahl und andere Internetverbrechen bedroht. „Nutzer sollten sich deshalb gut überlegen, welche Daten sie mit Apps verwalten“, sagt Forschungsleiter Eric Bodden.
Viele Smartphone-Apps speichern Nutzerinformationen in Cloud-Datenbanken, um zum Beispiel die Synchronisation zwischen Android und iOS Apps zu vereinfachen. Cloud-Betreiber bieten – je nach Sensibilität der Daten – verschiedene Authentifizierungsmethoden hierfür an. Die schwächste Form der Authentifizierung, eher dazu gedacht, Daten zu identifizieren als zu schützen, verwendet ein einfaches API-Token, eine in den App-Code eingebettete Nummer.
Daten verkaufen, Viren einschleusen

Das Interesse der Angreifer: Die auf diese Weise abgegriffenen E-Mail-Adressen lassen sich zum Beispiel auf dem Schwarzmarkt verkaufen. Ist noch mehr kriminelle Energie vorhanden, ist auch denkbar, dass Nutzer erpresst, Webseiten verändert oder Schadprogramme eingeschleust werden, um Malware zu verbreiten oder Botnetze aufzubauen.

Wie Professor Eric Bodden vom Fraunhofer SIT auf einer FAQ-Seite erklärt, haben Anwender derzeit wenig Möglichkeiten, sich vor Datenverlust auf diesem Weg zu schützen. Die Schlamperei sei bei den App-Entwicklern einfach zu weit verbreitet. Seine Kollegen hätten bislang “tausende anfällige Apps” gefunden, das könne aber auch nur die Spitze eines Eisbergs sein. Aus Sicht der Endbenutzer schwierig sei es auch, zu entscheiden, welche Apps oder welche Arten von Apps bedenklich sind, da es keine einfach erkennbaren Anhaltspunkt gebe, ob eine App ein Backend-as-a-Service-Angebot nutzt oder nicht – und falls ja, ob dieser BaaS-Dienst sicher ist und die Datenübergabe korrekt geregelt wurde.

Nutzerdaten landen oft ungewollt in der Cloud, weil App-Entwickler bei der Authentifizierung schlampen (Grafik: Fraunhofer SIT).

Um Daten richtig zu schützen, müssen Apps ein Zugangskontrollschema implementieren, fordern die Experten. Denn: Die Tests haben gezeigt, dass die große Mehrheit der von den meisten Nutzern verwendeten Apps keine solche Zugangskontrolle hat. Die Wissenschaftler untersuchten 750.000 Apps aus dem Google Play Store und dem Apple App Store. Dazu verwendeten sie intern entwickelte Analyse-Frameworks wie etwa den Fraunhofer Appicaptor.

„Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen. Allerdings zeigen unsere Ergebnisse, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist“, unterstreicht Bodden. Als die Fachleute das Problem entdeckten, informierten sie umgehend die Cloud-Anbieter sowie das Bundesamt für Sicherheit in der Informationstechnik.