Beunruhigende Nachrichten für iOS-User: Sicherheitsexperten von Cybernews haben in einer Untersuchung
festgestellt, dass 71 Prozent der Apps ein Sicherheitrisiko aufweisen, indem mindestens ein Datensatz hardcodiert im Code hinterlegt ist. Im Schnitt fanden die Forscher rund fünf ungeschützte Datensätze pro App. Das bedeutet, dass Angreifer lediglich im Code danach suchen müssen, um potenziell sensible Daten wie beispielsweise Passwörter, API-Schlüssel oder Datenbank-Zugänge abzufangen.
Einige der im Code aufzufindenden Daten gwähren selbst zwar keinen unbefugten Zugriff, aber sie werden häufig dazu verwendet, andere Leaks auszunutzen oder Zielendpunkte zu identifizieren. Angreifer könnten die erbeuteten Daten nutzen, um Credential Stuffing und Brute-Force-Angriffe zu starten oder nach Fehlkonfigurationen und Schwachstellen zu suchen. Die Forscher weisen daraufhin, dass potenziell sensible Daten niemals hardcodiert im Code vorkommen, sondern stets in Variablen eingebettet sein sollten.
Die Sicherheitsexperten finden die gewonnen Erkenntnisse besonders bedenklich, da Enduser nicht selbst überprüfen können, wie sicher eine App entwickelt wurde. Die Forscher geben dennoch ein paar Tipps mit auf den Weg. So sollten lediglich Apps von vertrauenswürdigen Entwicklern genutzt werden und die Berechtigungen von Apps generell auf das Notwendigste beschränkt werden.
Für die Untersuchung haben die Experten 156'000 Apps aus dem App Store analysiert, was rund acht Prozent aller dort angebotenen Apps entspricht.
(dok)