Deutsche Wissenschaftler entdecken viele Millionen ungeschützte Datensätze in den Cloud-Speichern großer Anbieter, darunter E-Mail-Adressen und Passwörter. Leichtsinnige App-Entwickler sollen sie dort abgelegt haben.

Die Technische Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie SIT haben Cloud-Datenbanken wie Facebooks Parse und Amazons AWS untersucht und 56 Millionen ungeschützte Datensätze entdeckt. Die Forscher fanden E-Mail-Adressen, Passwörter, Gesundheitsdaten und andere sensible Informationen von App-Benutzern. Sie könnten leicht gestohlen und manipuliert werden, heißt es in der Pressemitteilung des SIT.

Schuld an der Misere sind offenbar leichtsinnige Entwickler. Sie verwenden Cloud-Datenbanken, um Nutzerdaten zu speichern, beispielsweise um die Synchronisation zwischen Android- und iOS-Apps zu vereinfachen. Dabei ignorierten sie aber scheinbar die Sicherheitsempfehlungen der Cloud-Anbieter, die je nach Sensibilität der Daten verschiedene Authentifizierungsmethoden anbieten, so die Erklärung der Experten.

Zugangskontrolle fehlt

Um private Daten richtig zu schützen, müssen Apps eigentlich ein Zugangskontrollschema implementieren. Die Tests zeigten allerdings, dass die große Mehrheit der Apps keine solche Zugangskontrolle verwendeten, schreiben die Sicherheitsforscher. Sie untersuchten insgesamt 750.000 Apps aus dem Google Play Store und dem Apple App Store.

Die wohl oft von den Entwicklern eingesetzte schwächste Form der Authentifizierung - eher dazu gedacht, Daten zu identifizieren als zu schützen - verwendet ein einfaches API-Token, eine in den App-Code eingebettete Nummer. Mit aktuellen Werkzeugen könnten Angreifer diese Token jedoch einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren, warnen die Sicherheitsforscher. Angreifer könnten zum Beispiel E-Mail-Adressen auf dem Schwarzmarkt verkaufen, Nutzer erpressen, Webseiten verändern oder Schadcode einschleusen, um Malware zu verbreiten oder Botnetze aufzubauen.

"Entwickler müssen aktiv werden"

"Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen", erklärt Forschungsleiter Professor Eric Bodden. "Allerdings zeigen unsere Ergebnisse und die Problematik an sich, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist."

Die Wissenschaftler haben ihre Erkenntnisse bereits den betroffenen Cloud-Anbietern und dem Bundesamt für Sicherheit in der Informationstechnologie gemeldet. "Mit der Hilfe von Amazon und Facebook informierten wir ebenfalls die Entwickler der betroffenen Apps, denn sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen", sagt Bodden.