Sicherheitsforscher entdecken Secret Keys in Google Play Apps, helfen Google

Wieder einmal erregt der Google Play Store die Aufmerksamkeit von Sicherheitsforschern. Diese entdeckten nämlich nach eigenen Angaben tausende Secret Keys in Apps. Diese Secret Keys zu Amazon Web Services der Entwickler ermöglichen den Zugriff auf OAuth-Zugangsdaten verschiedener Webdienste. Sie können einfach aus den Apps extrahiert werden und danach eingesetzt werden, um an Nutzerinformationen der Dienste zu kommen, auch wenn die App vom Nutzer gerade nicht aktiv genutzt wird. Betroffen waren auch Zugangsdaten populärer sozialer Netzwerke.

SecretKeys

Mittlerweile setzt Google auf die Technik von Columbia Engineering, die auch die Secret Keys entdeckt hat. Apps werden nun vor Veröffentlichung von Google gescannt, damit solche Risiken künftig nicht mehr durchschlüpfen können. Es scheint demnach aktuell keine Gefahr mehr davon auszugehen.

Weiterhin wurde bei der Untersuchung festgestellt, dass rund ein Viertel aller kostenlosen Apps im Google Play Store Klone von bereits existierenden Apps sind. Dazu hatten wir auch schon einmal etwas, damals hieß es, dass 1,2% aller Apps geklont sind. Die Untersuchung der Apps erfolgte mit einem Programm namens PlayDrone. Dieses Programm ist in der Lage pro Tag 1,1 Millionen Apps aus Google Play zu ziehen und 880.000 (kostenlose) Apps zu dekompilieren. Durch Server-Erweiterung kann die Performance weiter gesteigert werden. Not bad.

Was bleibt übrig? Es gab wohl die Möglichkeit an Secret Keys zu gelangen, die anscheinend jetzt nicht mehr gegeben ist und somit auch keine Gefahr mehr davon ausgehen sollte. Der Untersuchungsmechanismus, der von Google nun auch genutzt wird, ist stark genug, um solche Dinge in Zukunft zu verhindern.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

10 Kommentare

  1. Mal was ähnliches: Vor lange Zeit habe ich „Meine Einkäufe“ (https://play.google.com/store/apps/details?id=de.lowpingerz.mypurchases) Zugriffsberechtigung zu meinem Konto erteilt – doch wie entziehe ich diese wieder?

    Weder im Dashboard vom PC bei Google, noch in den Google-Einstellungen auf dem Handy kann man den Zugriff widerrufen.

    Jemand eine Idee?

  2. Ich meine das müsste in den Account-Einstellungen gehen, evtl im Tab „Security“. Kann später mal nachschauen. Hatte dort Kalender Apps die Berechtigungen entzogen.

  3. Dort ist nichts, das ist ja das „Problem“…

  4. @Patrick: Abgesehen, dass Du hier total offtopic bist:

    https://security.google.com/settings/security/permissions?pli=1

    Wenn da die App „Meine Einkäufe“ nicht aufgeführt ist, dann hat sie auch keine Zugriffsberechtigung auf Dein Konto. In der Beschreibung der App steht, dass der Entwickler den Login-Prozess zwischendurch komplett neu implementiert hat. Wahrscheinlich hattest Du Dich nach der Umstellung dann gar nicht mehr neu eingeloggt.

  5. Wenn unter https://security.google.com/settings/security/permissions?hl=de nichts ist, dann hat die App auch keinen Google-Konto-Zugriff mehr.

  6. Doch, die App hat noch Zugriff. Ich komme ohne es erneut zu bestätigen rein, bei einem anderen Google-Konto muss ich es bestätigen. ..und wer weiß, bei wie vielen Apps Google diese Rechte noch unterschlägt.

  7. Dann frag mal im folgenden Forum weiter (hier in den Kommentaren ist Deine Frage eben offtopic) :

    http://www.android-hilfe.de/google-play-store-android-market/

  8. @Patrick: vielleicht irgendwie noch im App-Cache? Leere den doch mal und starte die App dann neu. Bei mir tauchen im Link von „Patrick2“ auch nur die Apps auf, die Zugriff haben.

    Wußte nicht, dass Jo entscheidet, was hier in den Kommentaren stehen darf und was nicht 🙂

  9. @Timo, das Handy wurde inzwischen neuinstalliert, daran kanns nicht liegen… Scheint so, als würde Google hier tatsächlich Rechte unterschlagen…

  10. Android-Apps werden nicht explizit auf der Google-Webseite gelistet, die laufen alle unter dem Android-Gerät. Um ein Abmelden der App zu erzwingen, einfach die App deinstallieren, dann wird dieser auch die über das Gerät zugewiesene Verknüpfungen entzogen.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.