Sicherheitsforscher entdecken Secret Keys in Google Play Apps, helfen Google

Wieder einmal erregt der Google Play Store die Aufmerksamkeit von Sicherheitsforschern. Diese entdeckten nämlich nach eigenen Angaben tausende Secret Keys in Apps. Diese Secret Keys zu Amazon Web Services der Entwickler ermöglichen den Zugriff auf OAuth-Zugangsdaten verschiedener Webdienste. Sie können einfach aus den Apps extrahiert werden und danach eingesetzt werden, um an Nutzerinformationen der Dienste zu kommen, auch wenn die App vom Nutzer gerade nicht aktiv genutzt wird. Betroffen waren auch Zugangsdaten populärer sozialer Netzwerke.

SecretKeys

Mittlerweile setzt Google auf die Technik von Columbia Engineering, die auch die Secret Keys entdeckt hat. Apps werden nun vor Veröffentlichung von Google gescannt, damit solche Risiken künftig nicht mehr durchschlüpfen können. Es scheint demnach aktuell keine Gefahr mehr davon auszugehen.

Weiterhin wurde bei der Untersuchung festgestellt, dass rund ein Viertel aller kostenlosen Apps im Google Play Store Klone von bereits existierenden Apps sind. Dazu hatten wir auch schon einmal etwas, damals hieß es, dass 1,2% aller Apps geklont sind. Die Untersuchung der Apps erfolgte mit einem Programm namens PlayDrone. Dieses Programm ist in der Lage pro Tag 1,1 Millionen Apps aus Google Play zu ziehen und 880.000 (kostenlose) Apps zu dekompilieren. Durch Server-Erweiterung kann die Performance weiter gesteigert werden. Not bad.

Was bleibt übrig? Es gab wohl die Möglichkeit an Secret Keys zu gelangen, die anscheinend jetzt nicht mehr gegeben ist und somit auch keine Gefahr mehr davon ausgehen sollte. Der Untersuchungsmechanismus, der von Google nun auch genutzt wird, ist stark genug, um solche Dinge in Zukunft zu verhindern.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

10 Kommentare

  1. Mal was ähnliches: Vor lange Zeit habe ich „Meine Einkäufe“ (https://play.google.com/store/apps/details?id=de.lowpingerz.mypurchases) Zugriffsberechtigung zu meinem Konto erteilt – doch wie entziehe ich diese wieder?

    Weder im Dashboard vom PC bei Google, noch in den Google-Einstellungen auf dem Handy kann man den Zugriff widerrufen.

    Jemand eine Idee?

  2. Ich meine das müsste in den Account-Einstellungen gehen, evtl im Tab „Security“. Kann später mal nachschauen. Hatte dort Kalender Apps die Berechtigungen entzogen.

  3. Dort ist nichts, das ist ja das „Problem“…

  4. @Patrick: Abgesehen, dass Du hier total offtopic bist:

    https://security.google.com/settings/security/permissions?pli=1

    Wenn da die App „Meine Einkäufe“ nicht aufgeführt ist, dann hat sie auch keine Zugriffsberechtigung auf Dein Konto. In der Beschreibung der App steht, dass der Entwickler den Login-Prozess zwischendurch komplett neu implementiert hat. Wahrscheinlich hattest Du Dich nach der Umstellung dann gar nicht mehr neu eingeloggt.

  5. Wenn unter https://security.google.com/settings/security/permissions?hl=de nichts ist, dann hat die App auch keinen Google-Konto-Zugriff mehr.

  6. Doch, die App hat noch Zugriff. Ich komme ohne es erneut zu bestätigen rein, bei einem anderen Google-Konto muss ich es bestätigen. ..und wer weiß, bei wie vielen Apps Google diese Rechte noch unterschlägt.

  7. Dann frag mal im folgenden Forum weiter (hier in den Kommentaren ist Deine Frage eben offtopic) :

    http://www.android-hilfe.de/google-play-store-android-market/

  8. @Patrick: vielleicht irgendwie noch im App-Cache? Leere den doch mal und starte die App dann neu. Bei mir tauchen im Link von „Patrick2“ auch nur die Apps auf, die Zugriff haben.

    Wußte nicht, dass Jo entscheidet, was hier in den Kommentaren stehen darf und was nicht 🙂

  9. @Timo, das Handy wurde inzwischen neuinstalliert, daran kanns nicht liegen… Scheint so, als würde Google hier tatsächlich Rechte unterschlagen…

  10. Android-Apps werden nicht explizit auf der Google-Webseite gelistet, die laufen alle unter dem Android-Gerät. Um ein Abmelden der App zu erzwingen, einfach die App deinstallieren, dann wird dieser auch die über das Gerät zugewiesene Verknüpfungen entzogen.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.