App-Armaggedon: Sicherheit und Datenschutz miserabel

Seit einigen Jahren werden uns Apps ja als Stein der Weisen für iOS, macOS, Android, Windows etc. verkauft. Klein, sicher, billig und zentral in einem App-Store zu haben. Heute mal wieder kleine Infosplitter zum Thema Sicherheit von Apps.

Den Kaffee zum Morgen schon gehabt? Nicht dass sich jemand verschluckt und ich bin wieder schuld. Und noch was: Armageddon (eigentlich Harmagedon) steht eigentlich für den Ort der endzeitlichen Entscheidungsschlacht in der Offenbarung des Johannes. Ich dachte, es beschreibt das Ganze ganz schön.

Dass Apps nicht sicher sind und der tägliche Sicherheits-GAU schon zu meinem Geschäft als Blogger gehört, ist nichts neues. Trotzdem setzen Leute auf Apps zum Online-Banking ein. Und jedes Mobilgerät muss 30-40 dieser Teile installiert haben, sonst ist das alles Mist – so mein Eindruck. Die folgenden Abschnitte beziehen sich zwar weitgehend auf Android, aber für iOS (und Windows) würde ich meine Hand auch nichts ins Feuer legen.

Gefakte Uber Android-App mit Malware

Cyber-Kriminelle machen sich die Popularität diverser Apps zunutze und stellen gefälschte Apps mit Malware unter ähnlich klingenden Namen in die App-Stores. Der neueste Fall, der mir die Tage unter die Augen gekommen ist, betrifft eine Uber-App. Der Mitfahrdienst Uber ist anscheinend ja recht populär und man braucht eine App zum Buchen. Symantec hat dies zum Jahresanfang in seinem Blog aufgegriffen.

(Uber-Fake-App, Quelle: Symantec)

Die App scheint wohl auf russische Anwender zu zielen und greift Anmeldedaten des Geräts ab. Wer die Details lieber in Deutsch liest, findet hier einen entsprechenden Artikel.

Google kickt weitere 36 Malware-Apps aus dem Store

Zum Jahresanfang findet sich bei Bleeping Computer dieser Artikel, mit dem Hinweis, dass Google 36 'Sicherheits-Apps' aus dem Play Store rausgeworfen hat. Die versprechen einen Virenschutz für Android-Geräte, sind aber mit Malware versehen. Nach der Installation nervten die Apps mit Sicherheitsalarmen und versuchten über diverse Tricks eine Monetarisierung zu erreichen.

Fake Telegram-App aus Open Source-Code geschnitzt

Die Sicherheitsforscher von Symantec fanden kürzlich eine App mit dem Namen "Teligram [NEW VERSION UPDATED]" im Google Play Store. Die App basierte auf dem Open Source Telegram-Messenger-Quellcode. Der App-Name sah wie ein Tippfehler aus und suggerierte ein Update der offiziellen Telegram-Messenger-App. Nach der Installation war die Fake-App kaum vom Telegram-Messenger zu unterscheiden. Aber die App enthält Code, um Werbung zu schalten und daraus Werbeeinnahmen zu erzielen. Symantec hat den Fall hier dokumentiert. (via)

Datenschutz und Privatsphäre ausgehebelt

Zu den obigen Fällen kommen Berichte, dass die Privatsphäre, der Datenschutz und die Sicherheit der Apps häufig mangelhaft bis ungenügend ist. Ich habe es seinerzeit nicht gebracht. Anfang Dezember 2017 gab es diesen Artikel, der sich dem Thema widmet, dass Apps auch ohne GPS-Daten den Standort des Nutzers tracken können – auf das Tracking durch Google hatte ich im Blog-Beitrag Android-Smartphones: Zwangs-Standort-Tracking für Google hingewiesen.

Dass Apps immer wieder Tracker für Daten aufweisen, ist eigentlich schon seit Jahren bekannt. heise.de hat hier einen solchen Fall, der über 300 Apps für Android betraf, letztes Jahr behandelt. Trend Micro befasste sich im Dezember 2017 mit dem Thema, dass Apps die Privatsphäre des Benutzers aushebeln. teltarif bezieht sich hier auf einen Bericht des britischen Guardian, dass mehr als 75 % der Apps Tracker von Drittanbietern integriert haben (ganz lesenswert, da es nicht nur windige App-Entwickler, sondern z.B. auch eine französische Versicherungs-App betrifft).

Dass Dating-Apps wie Tinder oder OK Cupid schwere Datenschutz- und Sicherheitsmängel aufweisen, und vertrauliche Daten abgezogen werden, ist nur noch eine Fußnote – bei Interesse gibt es hier was zum Nachlesen. Auf den Wunsch von OK Cupid, bessere Namen für Nutzer zu vergeben, war ich im Artikel Dating-Plattform OkCupid und die 'Klarnamenpflicht' zum Jahreswechsel eingegangen.

App-Sicherheit unter aller Sau

Warum man kein Online-Banking mit Apps erledigen sollte, haben die Erlanger Sicherheitsforscher Vincent Haupert und Nicolas Schneider zwischen den Jahren auf dem 34C3-Kongress erläutert. heise.de hat in diesem Artikel die Erkenntnisse, wie die Sicherheitsforscher den Schutz Promon Shield mittels des Werkzeugs Nomorp aushebeln konnten, beleuchtet.

Aber Ende Dezember 2017 wurde ruchbar, dass 18 von 33 Notfall-Apps für Katastrophenfälle der US Homeland-Security schlicht und ergreifend große Sicherheitslücken aufweisen.

Trigger für den heutigen Artikel war aber der heise.de-Artikel hier, der auf eklatante Sicherheitslücken in Apps zur Steuerung von Industrie-Anlagen eingeht. Die beiden Sicherheitsforscher Alexander Bolshev von IOActive und Ivan Yushkevich von Embedi haben mobile Apps, die zur Industriesteuerung dienen, vorgenommen. In 34 untersuchten Apps wurden insgesamt 137 Schwachstellen und kritische Sicherheitslücken gefunden. Hier ist die Pressemitteilung zum Thema.

Gerade habe ich noch mit einem Kollegen in anderem Zusammenhang telefoniert, mit dem ich vor 28 Jahren in der Industrie Mess-, Überwachungs-, Regelungs- und Steuerungslösungen entwickelt habe. Irgendwie beschleicht mich das Gefühl, dass da jeglicher Sinn und Verstand abhanden gekommen sein muss. Hauptsache alles schön bunt und läuft auf einem Smartphone. Ich denke, auch 2018 werde ich über App-Probleme reichlich bloggen dürfen – denn App-Schwachstellen stehen mit Sicherheit im Fokus der Cyber-Kriminellen.

Ähnliche Artikel:
8 Android-Apps im Play Store mit Sockbot Malware gefunden
Über 800 Google Play Store-Apps mit Xavier-Malware verseucht
AdultSwine: Android-Apps für Kids mit Porno-Werbung
Android: LightOuts-Adware im Google Play Store
Keyboard-App ai.type sammelt Daten, diese sind geleakt
Fake WhatsApp-App aus dem Google Play Store