Lücken in Tracker-Apps

Leicht gehackte Komplettüberwachung

20180820_Your_Smartphone_is_Watching_You.png
Viele Tracker-Apps, mit denen beispielsweise Eltern ihre Kinder orten können, haben gravierende Sicherheitslücken (Bild: Fraunhofer SIT)
Anzeige
Forscher finden gefährliche Schwachstellen in so genannten Tracker-Apps: Sie sind leicht zu hacken und mit ihnen ist dann die komplette Überwachung von Smartphones möglich. Angreifer können zeitgleich Millionen von Nutzern ausspionieren.

Mit sogenannten Monitoring- oder Tracker-Apps können Smartphone-Nutzer überwacht werden. Beispielsweise nutzen Eltern eine solche App, um jederzeit zu wissen, wo sich ihre Kinder befinden oder welche Nachrichten und Bilder sie verschicken. Die Nutzung dieser Apps ist legal, sofern der oder die Ausspionierte damit einverstanden ist. Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) haben 19 legale Apps, die im Google Play Store angeboten werden, untersucht. Die Apps wurden laut Google mehrere Millionen Mal installiert. Die Wissenschaftler haben geprüft, wie die hochsensiblen Nutzerdaten, die diese Apps erheben, geschützt sind. Das Ergebnis: Alle Apps haben gravierende Schwachstellen, keine einzige Anwendung war sicher programmiert. Insgesamt haben die Forscher 37 Sicherheitslücken gefunden.

Echtzeitverfolgung von Tausenden Menschen

Die hochsensiblen Daten werden meist im Klartext auf einem Server abgespeichert, ohne durch korrekte Verschlüsselung abgesichert zu sein. „Wir mussten lediglich eine bestimmte Webseite aufrufen und einen Nutzernamen in die URL eingeben oder raten, um das Bewegungsprofil einer Person aufzurufen“, erklärt Fraunhofer-Projektleiter Siegfried Rasthofer, der gemeinsam mit der Fraunhofer Hacking-Gruppe Team-SIK die Apps untersucht hat. Die Forscher fanden auf den Servern nicht nur Daten einzelner Personen, sondern konnten von allen Nutzern dieser Apps komplette Bewegungsprofile auslesen, die ungesichert auf einem Server gespeichert waren. „Damit ist eine Echtzeitverfolgung von Tausenden Menschen möglich“, sagt Rasthofer. Über die unsicher programmierten Apps können Angreifer nicht nur Metadaten wie Aufenthaltsorte abrufen, sondern auch Inhalte wie SMS-Nachrichten und Bilder der überwachten App-Nutzer lesen und ansehen. „Damit ist eine komplette Überwachung möglich“, erklärt Stephan Huber, Mitglied von TeamSIK und Forscher am Fraunhofer SIT.

Einige Apps sind immer noch im Store

Darüber hinaus ist es den Wissenschaftlern gelungen, die Anmeldeinformationen der App-Nutzer auszulesen. Auch diese waren bei den meisten Apps unverschlüsselt gespeichert oder nur mit völlig ungenügender Verschlüsselung gesichert – das Team um Siegfried Rasthofer und Stephan Huber hatte beispielhaft bei einer App 1700000 Login-Daten gefunden. Die Fraunhofer-Wissenschaftler haben die App-Anbieter sowie den Google Play Store über ihre Entdeckungen informiert. 12 der 19 untersuchten Apps sind inzwischen aus dem Play Store entfernt worden. Andere Anbieter hingegen haben gar nicht reagiert.

https://team-sik.org/trent_portfolio/in-security-of-tracking-apps/

Anzeige

Aktuelle Ausgabe

Aktuelles Titelthema: Mikrofertigung

Die neuen Herstellverfahren für die begehrten kleinen Bauteile in der Medizintechnik sind alles andere als trivial

Messe Medtec Live

Trends und Produkte zur neuen Nürnberger Messe Medtec Live

Messe T4M

Trends und Produkte zur neuen Messe T4M in Stuttgart

Newsletter


Jetzt unseren Newsletter abonnieren

medicine&technology

Die englische Ausgabe, hier als PDF.

Erscheint zwei Mal im Jahr mit europaweiter Verbreitung.

Alle Webinare & Webcasts

Hier finden sie alle Webinare unserer Industrieseiten

Whitepaper


Hier finden Sie aktuelle Whitepaper

Kalender


Aktuelle Termine für die Medizintechnik-Branche

Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de