Langsam aber sicher etabliere ich mich hier im Blog als der Überbringer schlechter Nachrichten zum Thema Authentifizierungs-Hacks. Und auch heute gibt es wieder Neuigkeiten. Bereits im Juni hatten Forscher der Universität von Columbia bekannt gegeben, versteckte Login-Schlüssel in tausenden von Google-Play-Applikationen gefunden zu haben. Sie wurden von ihren Entwicklern eingebaut, um auf Cloud-basierte Accounts zuzugreifen – beispielsweise Facebook, AWS, Twitter und andere soziale Netzwerke. Doch auch Hacker können diese versteckten Schlüssel benutzen, um die jeweilige Dienstleistung und den Zugang zu Benutzerdaten negativ zu beeinflussen.
Die von den Computer-Wissenschaftlern entwickelte Software zur Untersuchung des Google Play Stores ist an sich schon bemerkenswert. Im ersten Schritt entwickelten sie ihr eigenes Crawler System unter dem Namen PlayDrone. Mit diesem Programm wurden mehr als eine Millionen Android-Applikationen im Google Play Store untersucht! Im zweiten Schritt wurden dann die Binärdateien in einen lesbaren Quellcode übersetzt und dieser dann in einer Datenbank zur weiteren Analyse gespeichert.
Nebenbei bemerkten die Forscher, dass eine Vielzahl an „Duplicate Content“ in den Applikationen existiert. Das heißt nichts anderes, als dass knapp 25 Prozent der Apps aus dem Code anderer Appware bestehen.
Das Columbia-Team suchte nun in der Datenbank nach Zeichenketten mit den Inhalten „geheim“ und „privat“. Das Ergebnis: Tausende von Apps hatten eingebettete private Zugangsschlüssel zu Cloud-basierten Services integriert, die zu Testzwecken von den Entwicklern eingefügt worden waren. Sie wurden nach der Entwicklungsphase schlichtweg vergessen und nicht entfernt.
Der öffentlich zugängliche Bericht zeigt, dass die Amazon AWS-Kürzel besonders kritisch sind. Hacker könnten diese mit speziellen automatisierten Apps herausfiltern und sich mit diesen Schlüsseln dann in den AWS EC2-Instanzen anmelden. Wie der Bericht weiter ausführt, kann dies „zu einer Reihe von gezielten Angriffen auf die Vertraulichkeit, Integrität und die Verfügbarkeit der Applikation auf Kosten des Nutzers“ führen.
Aus den Untersuchungen ging weiter hervor, dass tausende von OAuth-Anmeldeinformationen in den Apps zurückgelassen wurden. OAuth wird typischerweise für die Verbindung der App zu Diensten wie Twitter, Facebook, LinkedIn und Flickr genutzt, sofern der Nutzer es aktiv erlaubt. Bei der offiziellen App von Airbnb wurden Entwickler-OAuth-Anmeldedaten für Facebook gefunden, die Hackern potentiell Millionen von Benutzerkonten ungeschützt zugänglich machen. Airbnb und Facebook wurden über diesen Tatbestand informiert und haben inzwischen die erforderlichen Gegenmaßnahmen getroffen.
Die Forscher informierten auch Amazon und Google. Amazon informierte seine AWS-Nutzer schon einige Zeit vorher und hatte Entwickler vor genau dieser Problematik bereits gewarnt. Google kündigte neben den bisherigen minimalen Scans der eingereichten Android- Apps weitere Überprüfungen mittels PlayDrone an.
Was sollten wir also aus diesen Ergebnissen mitnehmen? Natürlich sollten Unternehmen hinsichtlich des Themas BYOD besonders wachsam sein und Business Apps in der Sandbox neben den regulären Nutzer-Apps laufen lassen.
Es gibt keinen Grund zur Annahme, dass nicht auch eigens entwickelte Unternehmenssoftware ähnlichen Problemen unterliegt – so beispielsweise Login-Daten oder andere offen gelassene Hintertüren, weil sie von den Entwicklern schlicht vergessen wurden.
Bevor Sie unternehmensweite Anwendungen einführen, sollten Sie einen strengen Q/A-Sicherheitsprozess implementieren. Dennoch werden – gerade in der Metadaten-Ära – wahrscheinlich immer einige nutzbare Sicherheitslücken in einer Software existieren. Hacker haben also fast immer die Möglichkeit, eine Hintertür zu finden.
Das praktikable Ziel einer guten IT-Sicherheits-Policy sollte es sein, die wertvollen und vertraulichen Inhalte des Unternehmens und die unternehmenseigenen IP’s für Außenstehende zu beschränken, die Verwendung zu überwachen und mittels automatisierten Prozessen den Missbrauch zu vermeiden.
The post Mobile Applikationen mit schwerwiegenden Schwachstellen in den Anmeldeinformationen appeared first on Varonis Deutsch.