Forscher entdecken 56 Millionen ungeschützte Datensätze in der Cloud

Cloud (Bild: Shutterstock)

Betroffen sind Cloud-Datenbanken wie Facebooks Parse und Amazon Web Services. Den deutschen Forschern zufolge liegt es an einer unzureichend eingesetzten Authentifizierung von App-Entwicklern. Unter anderem fanden sie Daten von App-Nutzern wie E-Mail-Adressen oder Passwörter.

In Cloud-Datenbanken wie Facebooks Parse und Amazon Web Services haben Forscher der Technischen Universität Darmstadt und des Fraunhofer-Institut für Sichere Informationstechnologie SIT etwa 56 Millionen ungeschützter Datensätze entdeckt. Dabei handelte es sich um E-Mail-Adressen, Passwörter, Gesundheitsdaten und andere sensible Informationen von App-Benutzern. Durch den ungeschützten Zugriff können Dritte Identitäten stehlen und andere Cyberverbrechen begehen.

Als Grund für die vertraulichen Informationen in den Cloud-Datenbanken führt die TU Darmstadt an, dass App-Entwickler diese oft als Backend-as-a-Service (BaaS) einsetzen, um Nutzerdaten zu speichern. Dies sei für sie praktisch, da es eine günstige, leicht ausbaubare, flexible und im Vergleich zu selbst betriebenen Plattformen stabile Möglichkeit darstellt. Darüber hinaus vereinfache es die Synchronisation unter anderem zwischen Android- und iOS-Apps.

Viele Entwickler halten sich offenbar nicht an die Sicherheitsempfehlungen der Cloud-Anbieter beziehungsweise setzen sie nicht vollständig und korrekt um. Die Forscher haben mit dem Analyse-Framework “Fraunhofer Appicaptor” nachgewiesen, dass der Großteil der überprüften 750.000 Apps, die sowohl aus dem Google Play Store als auch dem Apple App Store stammen, keine Zugangskontrollen verwendet.

Nutzerdaten landen oft ungewollt in der Cloud, weil App-Entwickler bei der Authentifizierung schlampen (Grafik: Fraunhofer SIT).
Nutzerdaten landen oft ungewollt in der Cloud, weil App-Entwickler bei der Authentifizierung schlampen (Grafik: Fraunhofer SIT).

Cloud-Betreiber stellen mehrere Authentifizierungsmethoden zur Verfügung, erklären die Forscher. Am schwächsten ist die Methode eines sogenannten API-Tokens, also eine in den App-Code eingebettete Nummer. Angreifer können dieses “einfach extrahieren und nutzen, um die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren.”

Angreifer verfolgen damit das Ziel, entwendete E-Mail-Adressen beispielsweise auf dem Schwarzmarkt zu verkaufen. Aber auch die Erpressung von Nutzern ist möglich. Zudem könnten Kriminelle Webseiten manipulieren oder Schadprogramme einschleusen, um Malware zu verbreiten oder Botnetze aufzubauen.

Auf einer FAQ-Seite erklärt Professor Eric Bodden vom Fraunhofer SIT, dass Nutzer momentan nur wenig machen können, um sich vor Datenverlust auf diese Weise zu schützen. Die Schlamperei sei bei den App-Entwicklern einfach zu weit verbreitet. Bisher konnten seine Kollegen “tausende anfällige Apps” finden. Allerdings könne dies auch nur die Spitze des Eisberges sein. Aus Sicht der Endbenutzer sei es zudem schwierig, zu entscheiden, welche Apps oder welche Arten von Apps bedenklich sind, da es keine einfach erkennbaren Anhaltspunkt gebe, ob eine App ein Backend-as-a-Service-Angebot nutzt oder nicht – und falls ja, ob dieser BaaS-Dienst sicher ist und die Datenübergabe korrekt geregelt wurde.

“Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen”, so Bodden in einer Pressemitteilung. “Allerdings zeigen unsere Forschungsergebnisse und die Problematik an sich, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist.” Die Cloud-Anbieter seien bereits informiert und dazu aufgefordert worden, die App-Entwickler unter ihren Kunden auf das Problem hinzuweisen. “Sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen”, so Bodden.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.