Deutsche Forscher finden 56 Millionen ungeschützt Datensätze in Cloud-Datenbanken
Wissenschaftler der Technischen Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie SIT haben mehrere Cloud-Datenbanken untersucht und dabei rund 56 Millionen ungeschützte Datensätze gefunden. Dazu gehören neben E-Mail-Adressen auch Passwörter, Gesundheitsdaten und andere persönliche Informationen. Den Experten zufolge sind dadurch viele Nutzerkonten durch Identitätsdiebstahl und andere Internetverbrechen bedroht.
Wie die TU Darmstadt heute mitgeteilt hat, stammen die Daten von App-Benutzern. Sie landeten in den Cloud-Datenbanken, etwa Facebooks Parse und Amazons AWS, weil diese gerne von App-Entwicklern als Backend-as-a-Service (BaaS) verwendet werden, um Nutzerdaten zu speichern. Aus ihrer Sicht ist das praktisch, da dies eine günstige, leicht ausbaubare, flexible und im Vergleich zu selbst betriebenen Plattformen stabile Möglichkeit darstellt. Außerdem macht es auch die Synchronisation, beispielsweise auch zwischen Android- und iOS-Apps einfacher.
Offenbar berücksichtigen dabei aber viele Entwickler die Sicherheitsempfehlungen der Cloud-Anbieter nicht oder setzen sie nicht korrekt und in vollem Umfang um. Tests der Forscher mit dem von ihnen bereits 2014 vorgestellten Analyse-Framework “Fraunhofer Appicaptor” hätten gezeigt, dass die große Mehrheit der untersuchten 750.000 Apps, die sowohl aus dem Google Play Store als auch dem Apple App Store, stammen keine Zugangskontrollen verwendet.
Wie die Forscher erklären, bieten Cloud-Betreiber mehrere Authentifizierungsmethoden an. Die schwächste Form verwendet ein sogenanntes API-Token, also eine in den App-Code eingebettete Nummer. Dieses Token lasse sich von Angreifern jedoch “einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren.”
Das Interesse der Angreifer: Die so gestohlenen E-Mail-Adressen lassen sich zum Beispiel auf dem Schwarzmarkt verkaufen. Wenn mehr kriminelle Energie vorhanden ist, ist auch denkbar, dass Nutzer erpresst, Webseiten verändert oder Schadcprogramme eingeschleust werden, um Malware zu verbreiten oder Botnetze aufzubauen.
Wie Professor Eric Bodden vom Fraunhofer SIT auf einer FAQ-Seite erklärt, haben Benutzer derzeit wenig Möglichkeiten, sich vor Datenverlust auf diesem Weg zu schützen. Die Schlamperei sei bei den App-Entwicklern einfach zu weit verbreitet. Seine Kollegen hätten bislang “tausende von anfälligen Apps” gefunden, das könne aber auch nur die Spitze eines Eisbergs sein. Aus Sicht der Endbenutzer schwierig sei es auch zu entscheiden, welche Apps oder welche Arten von App bedenklich sind, da es keine einfach erkennbaren Anhaltspunkt gebe, ob eine App ein Backend-as-a-Service-Angebot nutzt oder nicht – und falls ja, ob dieser BaaS-Dienst sicher ist und die Datenübergabe korrekt geregelt wurde.
“Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen”, so Bodden in einer Pressemitteilung. “Allerdings zeigen unsere Forschungsergebnisse und die Problematik an sich, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist.” Die Cloud-Anbieter seien bereits informiert und dazu aufgefordert worden, ihre Kunden, die App-Entwickler, auf das Problem hinzuweisen. “Sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen”, so Bodden.