Analysen von
security.com haben zutage gefördert, dass diverse – auch relativ populäre – Smartphone-Apps auf hardcodierte Anmelde-Credentials setzen. Teilweise werden die Anmeldedaten sogar unverschlüsselt übertragen, wie die Sicherheitsforscher monieren. Entdeckt wurden etwa unzulänglich gesicherte Anmeldungen für AWS- oder Azure-Dienste. Die Apps, welche dieses Sicherheitsrisiko aufweisen, sind in einer Tabelle in der Bildergalerie aufgeführt.
Die Forscher warnen, dass mit dieser Art von Programmierung die Zugangsdaten für die Cloud mit einem Zugriff auf den Binär- oder Quellcode abgefangen werden können. Dies öffnet Cyberkriminellen Tür und Tor für Datendiebstahl, Identitätsmissbrauch oder das Hacken von weiteren Profilen, sofern die Zugangsdaten auch anderswo aktiv sind. Für die User ist im Frontend jedoch nicht ersichtlich, wie sicher das Anmeldeprozedere ausgelegt ist.
Von den App-Entwicklern werden deshalb sicherere Programmierungspraktiken gefordert, welche das Risiko des Abgreifens von Zugangsdaten verringern. Eine sinnvolle Möglichkeit statt Anmeldedaten hart zu codieren seien Umgebungsvariablen, die jedes Mal wieder neu geladen werden. Wer auf eine Hardcodierung setzen muss, sollte zumindest dafür sorgen, dass diese durch eine starke Verschlüsselung geschützt sei, so die Forscher.
(dok)
