Android Apps: Geheime Schlüssel sind es nicht mehr

Geheime Zugangsschlüsseln sind eingebettet im Appcode. So ist der Zugriff auf private Nutzerkonten möglich.

3 Forscher der New Yorker Columbia-Universität untersuchten mehr als eine Millionen Apps aus dem Google Play Store und fanden Tausende Zugangstoken, auch zu Amazon Web Services.

Die Informatiker benutzten ein Tool namens Playdrone dafür. 6228 OAuth-Token für Twitter und 460 für Facebook wurden gefunden. In einem Fall sei das OAuth-Token so schlecht konfiguriert gewesen, dass Angreifer damit unter anderem auf die Accounts von Millionen von Facebook-, Google- und Linkedin-Nutzern hätten zugreifen können, schrieben die Forscher. Mit den Daten hätten sie auch ohne Probleme ein neues Bot-Netz aufbauen können.

Den App-Entwicklern sei wohl nicht klar gewesen, wie leicht der Code wieder zurückübersetzt werden kann und man so die Schlüssel auslesen kann.

Amazon rät zur Verwendung von temporären Tokens.
Google zur Verwendung von OAuth 2.0 mit dynamisch generierten Token. Schade nur, dass OAuth eine schwere Sicherheitslücke aufweist.
Facebook empfiehlt Anfragen der App durch dessen Server zu leiten und die Passwörter auf dem Server zu speichern.

Diskussionsthread im Forum.

Quelle