Categories: MobileMobile Apps

Apps häufig über schlampige Authentifizierung angreifbar

Ein verbreiteter Fehler bei der Implementierung des Anmeldediensts OAuth 2.0 erlaubt es Angreifern bei Apps für Android und iOS unter Umständen Nutzerkonten zu übernehmen und App-Daten auszulesen. Die von Forschern Chinese University of Hongkong entdeckte Problem steckt in über 41 Prozent der von ihnen untersuchten 600 Apps im Google Play Store. Dabei handelt es ich auch um einige weit verbreitete Anwendungen: Zwar nennen die Forscher keine Namen erklärten aber gegenüber TechRepublic, dass die fehlerhaften Apps insgesamt über eine Milliarde Mal heruntergeladen wurden.

OAuth erlaubt es Nutzern, sich bei Diensten und Apps mit dem Konto eines anderen Anbieters – oft Google oder Facebook – anzumelden. Dazu wird dann beispielsweise abgefragt, ob die eingegebenen Anmeldedaten den dort hinterlegten entsprechen. Dann wird ein Log-in-Token übermittelt, mit dem die eigentliche Anmeldung bei der App erfolgt.

Allerdings prüfen nicht alle Apps, ob die zusammen mit dem Token gesendete Signatur überhaupt gültig ist. Diese Apps wissen daher also nicht mit Sicherheit, ob die empfangene Kombination aus Nutzername und Passwort korrekt ist oder ob ihnen gefälschte Anmeldedaten untergeschoben wurden.

Die Forscher Ronghai Yang, Wing Cheong Lau und Tianyu Liu richteten für ihre Arbeit einen gefälschten Log-in-Server ein. Um anfällige Apps zu übernehmen, erzeugten sie mit einem eigenen Konto einen legitimen Anmeldetoken für eine bestimmte App. Über einen SSL-fähigen Man-in-the-Middle-Proxy ersetzten sie dann die eigene User-ID für diese App mit der ID des Opfers. Der Proxy-Server übermittelte die präparierten Anmeldedaten an die App.

Wurden sie von ihr akzeptiert, war dann der vollständige Zugriff auf das Profil des Opfers möglich. Je nach App ist es etwa möglich, persönliche Daten einzusehen, Beiträge im Namen anderer Nutzer zu verfasssen oder auf deren Rechnung einzukaufen.

Die Forscher haben Google und Facebook bereits über das Problem informiert. Die beiden Firmen arbeiten nun mit den Entwicklern der fraglichen Apps zusammen, um es zu beheben.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

6 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

6 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago