Biometrie-Anmeldung der Shopify Android-App ausgehebelt

[English]Sicherheitsforscher haben die Biometriefunktion der Shopify Android-App ausgehebelt. Diese sollte eigentlich Händlern einen sicheren Zugriff auf ihre Shops per Fingerabdruckleser bereitstellen. Ist die App aber geöffnet, kann ohne Authentifizierung auf Deep-Links zugegriffen werden.


Anzeige

Für Blog-Leser/innen, die nicht so ganz im Thema sind (ich musste die genauen Details selbst nachschlagen), hier einige Hintergrundinformationen.

Shopify und die Android-App

Shopify ist eine proprietäre E-Commerce-Software, die von dem gleichnamigen kanadischen Unternehmen vertrieben wird. Mit ihr können kleine und mittelständische Händler selbst Online-Shops erstellen und Werkzeuge zum Einrichten von Bezahloptionen oder zum Integrieren in Amazon Marketplace nutzen.

App Shopify: Mobiler E-Commerce

Im Google Play Store gibt es die App Shopify: Mobiler E-Commerce, die sich Händler von Shops kostenlos installieren können. Die Beschreibung:

Verwalten Sie Ihren Onlineshop von Ihrem Handy aus, von überall. Unabhängig davon, ob Sie eine oder mehrere Filialen haben, ermöglicht Ihnen die Shopify-Anwendung eine einfache Verwaltung von Bestellungen und Produkten, die Kommunikation mit Mitarbeitern und die Verfolgung von Verkäufen.

Die Bio-Authentifizierung lässt sich wohl umgehen

So weit so gut. Die Shopify Android-App bietet auch die Möglichkeit, sich mit dem Fingerabdruck bei der App anzumelden. Nun bin ich über Twitter darauf gestoßen, dass die Bio-Authentifizierung der App per Fingerabdrucksensor umgangen werden kann.

Aber wenn die Anwendung geöffnet war und jemand einen "Deeplink" auslöst, ist keine Authentifizierung mehr erforderlich. Der verlinkte Artikel sowie diese Sicherheitsseite halten Details zu diesem Problem bereit.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.