Sicherheitsforscher entdecken Secret Keys in Google Play Apps, helfen Google

19. Juni 2014 Kategorie: Android, Backup & Security, Google, geschrieben von:

Wieder einmal erregt der Google Play Store die Aufmerksamkeit von Sicherheitsforschern. Diese entdeckten nämlich nach eigenen Angaben tausende Secret Keys in Apps. Diese Secret Keys zu Amazon Web Services der Entwickler ermöglichen den Zugriff auf OAuth-Zugangsdaten verschiedener Webdienste. Sie können einfach aus den Apps extrahiert werden und danach eingesetzt werden, um an Nutzerinformationen der Dienste zu kommen, auch wenn die App vom Nutzer gerade nicht aktiv genutzt wird. Betroffen waren auch Zugangsdaten populärer sozialer Netzwerke.

SecretKeys

Mittlerweile setzt Google auf die Technik von Columbia Engineering, die auch die Secret Keys entdeckt hat. Apps werden nun vor Veröffentlichung von Google gescannt, damit solche Risiken künftig nicht mehr durchschlüpfen können. Es scheint demnach aktuell keine Gefahr mehr davon auszugehen.

Weiterhin wurde bei der Untersuchung festgestellt, dass rund ein Viertel aller kostenlosen Apps im Google Play Store Klone von bereits existierenden Apps sind. Dazu hatten wir auch schon einmal etwas, damals hieß es, dass 1,2% aller Apps geklont sind. Die Untersuchung der Apps erfolgte mit einem Programm namens PlayDrone. Dieses Programm ist in der Lage pro Tag 1,1 Millionen Apps aus Google Play zu ziehen und 880.000 (kostenlose) Apps zu dekompilieren. Durch Server-Erweiterung kann die Performance weiter gesteigert werden. Not bad.

Was bleibt übrig? Es gab wohl die Möglichkeit an Secret Keys zu gelangen, die anscheinend jetzt nicht mehr gegeben ist und somit auch keine Gefahr mehr davon ausgehen sollte. Der Untersuchungsmechanismus, der von Google nun auch genutzt wird, ist stark genug, um solche Dinge in Zukunft zu verhindern.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9413 Artikel geschrieben.