Brute-Force-Lücke in 53 populären Apps für Android und iOS gefunden

Erneut kursiert eine Meldung durchs Netz, dass eine ganze Menge Apps, sowohl für iOS als auch Android, unsicher vor Hacker-Attacken sind. Diesmal ist es aber kein Virus oder eine besondere Schwachstelle, die im Code versteckt ist, sondern eine „simple“ Brute-Force-Lücke.

S

Das Sicherheitsunternehmen AppBugs hat sich 100 der populärsten Apps aus dem Apple App Store und dem Google Play Store vorgeknöpft, um sie auf ihre Sicherheit zu überprüfen. Wie sich herausstellte sind insgesamt 53 der Apps vollkommen ungeschützt gegen eine mögliche Brute-Force-Attacke.

Das heißt, dass diese Apps keine Limitierung bei fehlerhafter Passwort-Eingabe besitzen. Eine sichere App würde nach einer bestimmten Anzahl falscher Kennwort-Eingaben den Nutzer auffordern das Passwort zurückzusetzen oder ihn zumindest für eine bestimmte Zeit vom Login-Prozess verbannen, bevor man erneut einen Versuch starten kann.

Die 53 Apps, darunter beispielsweise ESPN, Slack und Soundcloud, haben eben keine dieser Limitierungen. Daher können Hacker mit simplen Computer-Algorithmen durchlaufen lassen, bis man die richtige Passwort-Kombination gefunden hat. Die Liste der Apps ist sehr lang und AppBugs hat noch nicht alle Namen bekannt gegeben. Vorerst hat das Unternehmen die Entwickler der Apps angezählt und ihnen 30 Tage Zeit gegeben, diesen Fehler zu beheben.

Die heute bekannt gegebenen Apps sind: Songza, Pocket, Wunderlist, iHeartRadio, WatchESPN, Expedia, Dictionary, CNN, Domino’s Pizza USA, Zillow, AutoCAD 360, Slack, SoundCloud, Kobo und Walmart. Wunderlist und Dictionary sind dem Aufruf von AppBugs direkt gefolgt und haben das Problem gefixt. Sollten die anderen nicht nachziehen, wird die restliche Liste am 30. Juli veröffentlicht.

(Quelle: 9to5Google)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

14 Kommentare

  1. Schäfchen says:

    Ist doch alles Propaganda von diesen Dummen und Armen, die sich kein tolles Apple-Gerät leisten können.

    Jeder weiß, dass Apple viel besser ist, total sicher ist, im AppStore alles perfekt prüft, niemals Fehler macht, und wenn etwas enthalten ist, ist es kein Bug, sondern ein Feature.

    Wer etwas anderes behauptet, ist ein Google-Troll oder hat sein Gerät wieder mal falsch rum gehalten.

    Määäh!

  2. @Schäfchen: Hast Du den Artikel gelesen??

  3. Soweit ich weiß ist Twitter allgemein unsicher gegen solche Vorgehen.. oder greift da irgend ein Schutz? Dann klärt mich bitte auf.

  4. Scheinbar hat er ihn nicht gelesen oder wollte einfach nur trollen^^

    Alle Apps die ich mit einer zusätzlichen Kennwortabfrage besitze, sind gegen Brute-Force geschützt 🙂

  5. plantoschka says:

    Ich wäre da vorsichtig das als Lücke zu bezeichnen. Auch ist hier weniger die App schuld als das Web-Backend, das die Authentifizierung vornimmt. Im Backend müsste einfach gesagt werden nach 10 Anfragen erstmal IP-Sperren für 1h oder ähnliches.

    Aber sicher gut Klicks gefangen (damit mein ich nicht diesen Blog sondern AppBugs) und bei so Leuten wie Schäfchen schön den iOS Hass geschürt.

  6. Gibts von den Apps ne Liste?

  7. Der beste Brute-Force-Schutz ist immer noch ein vernünftiges (!) Passwort. Sicherlich ist so eine Begrenzung wünschenswert, aber „Brute-Force-Lücke“ nennen das nur Leute, die ihre Rotzpasswörter rechtfertigen wollen.

  8. @2cent
    rainbowtable 😀 da ist „Rotzpasswort“ auch nur beschränkt richtig

  9. @namerp
    Hauptsache mal Begriffe verwendet, die du nicht vollständig verstehst, was? 😉 Erklär mir doch mal, wie du so eine Versuchslimitierung umsetzen willst, wenn der Angreifer schon den Passworthash hat (was ja das Anwendungsszenario eines Rainbowtable ist). Abgesehen davon, dass du mit Rainbowtable streng genommen schon nicht mehr von Brute-Force sprechen kannst, weil du eine Abkürzung nimmst/nehmen kannst.

    Um Rainbowtable nutzlos zu machen, verwendet man übrigens einen „Salt“. Und wenn jemand das nicht macht, kann man schon eher von Lücke sprechen, denn eine Methode gilt als sicher, wenn eben nichts schneller als stumpfes Brute-Force geht.

  10. @plantoschka

    Genauso sehe ich es auch.

    @namerp

    Wer immer noch Passworthashes verwendet die per „fertiger“ Rainbowtable errechenbar sind gehört erschossen.

  11. mit einer sicherheitsLÜCKE hat das wenig zu tun. sagen wir mal so: diese apps bieten keinen zusätzlichen schutz gegenüber menschen, die zu dumm sind, sich ein sinnvolles passwort auszudenken.

  12. Schafscherer says:

    „diese apps bieten keinen zusätzlichen schutz gegenüber menschen, die zu dumm sind, sich ein sinnvolles passwort auszudenken.“

    – Na eben, gerade weil hier auch Apple-Kunden betroffen sind, deren kognitive Disposition ja bekannermaßen so ist wie sie ist, ist es ja ein Riesen-Problem.

  13. Charles Maris says:

    Bei Brute-Force-Angriffen ist die Länge des Passwortes entscheidend. „Donaudampfschiffahrtsgesellschaftskapitänsjackenknopf“ ist also relativ sicher. 😉

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.