AWS und Azure Cloud
Unverschüsselte Daten in der Cloud: Millionenfach installierte Apps mit Problemen
Sicherheitsforscher konnten in 13 Android- und iOS-Apps fest kodierte und unverschlüsselte Anmeldedaten für die Clouddienste AWS und Azure ausfindig machen. Von einer Installation der Anwendungen wird derzeit abgeraten.
Die Sicherheitsforscher von Symantec sind in einer Untersuchung beliebter Apps auf ernstzunehmende Sicherheitsverstöße gestoßen. Wie das Unternehmen in einem Blogbeitrag erklärt, wurden insgesamt 13 Anwendungen für Android und iOS entdeckt, die "mit fest kodierten, unverschlüsselten Anmel...
Die Sicherheitsforscher von Symantec sind in einer Untersuchung beliebter Apps auf ernstzunehmende Sicherheitsverstöße gestoßen. Wie das Unternehmen in einem Blogbeitrag erklärt, wurden insgesamt 13 Anwendungen für Android und iOS entdeckt, die "mit fest kodierten, unverschlüsselten Anmeldedaten für Cloud-Dienste wie Amazon Web Services (AWS) und Microsoft Azure Blob Storage ausgeliefert" werden.
Damit sei laut den Sicherheitsexperten ein leichter Zugriff auf Datenbanken mit potenziell sensiblen Daten möglich. Jeder mit Zugriff auf die App-Binary oder Quelldateien könne diese Anmeldedaten extrahieren und für weitere Zwecke missbrauchen. Folgende Android- und iOS-Apps sollen betroffen sein:
- Beltone Tinnitus Calmer
- Chola Ms Break In
- Crumbl
- EatSleepRIDE Motorcycle GPS
- Eureka
- Meru Cabs
- Pic Stitch
- ReSound Tinnitus Relief
- Saludsa
- Solitaire Clash
- Sulekha Business
- Videoshop – Video Editor
- Zap Surveys
Die Installation der jeweiligen Apps ist zwar noch keine Garantie, dass die Zugangsdaten bereits entwendet wurden - dennoch empfehlen die Symantec-Forscher, dass die Anwendungen vom Smartphone oder Tablet entfernt werden. Zudem gibt Symantec Tipps an Entwickler, wie das Sicherheitsrisiko gesenkt werden kann, etwa die Nutzung von Umgebungsvariablen für Zugangsdaten oder der Einsatz von Secrets-Management-Tools.
