Spyware-Apps im Google Play Store, offene App-Server

Sicherheitsforscher von Lookout haben mal wieder Spyware in Apps, die im Google Play Store angeboten wurden, gefunden. Und Backend-Server haben die Nutzerdaten von über Tausend Apps offen gelegt.


Anzeige

Irgendwie werde ich das Gefühl nicht los, dass es um die Sicherheit von Apps unter Android nicht wirklich gut bestellt ist. Hier mal wieder zwei Fälle aus der jüngeren Vergangenheit.

1.000 Apps speichern Nutzerdaten auf unsicheren Servern

Sicherheitsexperten von Appthority haben vor einigen Wochen bereits ihren Enterprise Mobile Threat Report für das 2. Quartal 2017 vorgelegt (direkter Download (gelöscht) als PDF). Unter anderem haben die Experten die Kommunikation von 1.000 Apps mit den Backend-Servern der App-Entwickler untersucht. Die Fragestellung war, festzustellen, ob die Apps Verbindung zu öffentlichen Servern aufnehmen und Benutzerdaten dort ablegen.

Ursprünglich war geplant, nur Apps zu untersuchen, die mit MongoDB, Redis, CouchDB, Elasticsearch und MySQL-Datenbanken kommunizieren. Als jedoch klar war, dass viele Apps gänzlich ungesichert mit ElasticSearch-Backend-Servern kommunizieren, fokussierte man sich nur auf diese Apps. Elasticsearch ist wohl bei App-Entwicklern sehr populär, um Daten der App auf Backend-Servern abzulegen und zu analysieren. Problem ist aber, dass Elasticsearch keine Mechanismen zur Absicherung der Kommunikation und zur Zugriffskontrolle bereitstellt. Das muss über Drittlösungen implementiert werden.

Bei der Überprüfung wurden Apps gefunden, die Verbindungen zu über 21.000 Elasticsearch-Servern aufnahmen, ohne dass eine saubere Authentifizierung erforderlich war. Damit waren über die ungesicherten ElasticSearch-Servers mehr als 43 TB an Benutzerdaten (von persönlich identifizierbaren Nutzerinformationen über Geodaten, medizinische Daten bis hin zu unverschlüsselten Anmeldedaten für Onlinezugänge und mehr) öffentlich zugreifbar.

Das scheint fast noch ein größeres Problem zu sein wie mit Schadsoftware verseuchte Apps. Wer sich eine App auf seinen Geräten installiert, muss sich darauf verlassen, dass die von der App erhobenen Daten sicher und vertraulich sind. Wenn aber so geschlampt wird, wird man per Smartphone und App zum gläsernen Benutzer. Bleeping Computer schreibt hier, dass man davon ausgeht, dass diese Daten inzwischen durch Hacker abgegriffen und in Untergrundforen gehandelt werden. Die interessanten Details lassen sich im PDF-Dokument (direkter Download (gelöscht)) nachlesen.

SonicSpy-Spyware im Play Store gefunden

Sicherheitsforscher des Sicherheitsspezialisten Lookout haben Apps im Google Play Store gefunden, die mit der SonicSpy-Spyware versehen waren. SonicSpy ist eine klassische Spyware, die über die infizierten Apps heimlich Audiomitschnitte oder Fotos anfertigen, Telefonanrufe tätigen, SMS versenden und Anruflisten, Kontakte sowie Informationen über WiFi-Zugänge abgreifen und übertragen kann. Die Malware kann über 73 verschiedene Remote-Befehle ausführen.

In diesem Blog-Beitrag schreibt Lookout, dass man über 1.000 Apps mit SonicSpy im Google Play Store gefunden habe. Es handelt sich häufig um Messenger- und Chat-Apps (Hulk Messenger und Troy Chat), die mit der Spyware infiziert waren. Google hat inzwischen dieser Apps aus dem Play Store entfernt, nachdem sie von Lookout informiert wurden.

Ist die Malware erfolgreich installiert, präsentiert sie dem Benutzer im Vordergrund Werbeeinblendungen, zieht aber im Hintergrund Daten ab. Gerade bei Firmen-Handys und –Tablets stellt dies ein gravierendes Sicherheitsrisiko dar – es können beliebige Firmendaten auf diesem Web abfließen. Einige zusätzliche Informationen sind in diesem deutschsprachigen Artikel zu finden.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.