Forscher des Fraunhofer-Instituts fanden heraus, dass viele Tracker-Apps gravierende Sicherheitslücken aufweisen. Totale Überwachung möglich.
Bei einer Untersuchung beliebter Tracker-Apps aus dem Google Play Store, wie sie beispielsweise von Eltern gerne genutzt werden zur Ortung oder Kontrolle ihrer Kinder, haben Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) nun erhebliche Sicherheitsmängel festgestellt. Im Ergebnis war nicht eine einzige der untersuchten Apps sicher. Die Wissenschaftler präsentierten ihre Resultate am 11. August auf der DEF CON Hacking Conference in Las Vegas.
Fraunhofer Institut fand gefährlichen Bug
Die Sicherheitsforscher fanden in 19 legalen Apps aus dem Google Play Store insgesamt 37 Sicherheitslücken, wobei keine der Apps sicher programmiert war. Geprüft wurde dabei, wie die sensiblen, privaten Nutzerdaten, die durch die Apps erhoben werden, geschützt sind. Gemäß den Wissenschaftlern könnten potentielle Angreifer die gefundenen Sicherheitslücken ausnutzen, um Bewegungsprofile zu erstellen, Chats und SMS-Nachrichten zu lesen und Bilder anzusehen, wobei es nicht einmal nötig ist, jedes Smartphone einzeln zu überwachen, sondern es können alle App-Nutzer zeitgleich angegriffen werden. Laut Google Play Store haben Nutzer die Apps bereits mehrere Millionen Mal installiert. Die App-Anwendung ist legal, lediglich müssen sich die so Überwachten damit einverstanden erklären.
Alle Daten unverschlüsselt abrufbereit
Projektleiter Siegfried Rasthofer, der diese Untersuchung gemeinsam mit der Fraunhofer Hacking-Gruppe TeamSIK durchführte, klärt auf. „Wir mussten lediglich eine bestimmte Webseite aufrufen und einen Nutzernamen in die URL eingeben oder raten, um das Bewegungsprofil einer Person aufzurufen.“ Das war möglich, da diese Daten unverschlüsselt auf einem Server gespeichert wurden. Dort hatten die Forscher Zugriff auf komplette Bewegungsprofile aller App-Nutzer. „Damit ist eine Echtzeitverfolgung von Tausenden Menschen möglich“, verdeutlicht Rasthofer.
Jedoch gehen die Zugriffe noch weit darüber hinaus. Denn auch solche Inhalte, wie SMS-Nachrichten und Bilder der überwachten App-Nutzer konnten ausgelesen und ansehen werden. Selbst in Anmeldeformulare bekamen die Wissenschaftler Einblick. Bei einer App fand das Team 1.700.000 Login-Daten. „Damit ist eine komplette Überwachung möglich“, warnt Stephan Huber, Mitglied von TeamSIK und Forscher am Fraunhofer SIT.
Komplette Überwachung möglich
Inzwischen haben die Sicherheitsforscher die App-Anbieter und auch den Google Play Store über die Studienergebnisse informiert, mit dem Ergebnis, dass Google bereits 12 der 19 untersuchten Apps entfernt hat. Jedoch haben nicht alle Anbieter darauf reagiert.
Grafik geralt, thx! (CC0 1.0 PD)
Tarnkappe.info