Originaltitel: hacker-gad53e5a7f_1920 // Urheber: B_A // Lizenz: Pixabay Lizenz // Quelle: Pixabay
Sicherheitsforscher von Symantec haben in 1.859 Apps Zugriff auf AWS-Tokens bekommen. Dabei handelt es sich um Zugriffsschlüssel für Amazons Cloud Service. In mehr als dreiviertel aller Fälle waren diese sogar unverschlüsselt abgelegt. Mit diesen Zugriffsschlüsseln konnten die Forscher in vielen Fällen über das für die Apps notwendige Maß auf private Clouddaten zugreifen, in fast der Hälfte der Fälle war sogar ein Zugriff auf Millionen privater Dateien möglich, die im Amazon Simple Storage Service gespeichert waren. Als Problem identifizierte Symantec dann ein spezielles SDK, das vorwiegend für iOS-Apps verwendet wird (98% der betroffenen Apps sind für dieses Betriebssystem), bei dem sich die App-Entwickler offensichtlich nicht die Mühe gemacht hatten, dieses für ihre Zwecke anzupassen.
Zum Teil ist die Lücke, die so entstanden ist, äußerst gravierend. So erlangten die Forscher z.B. über die App eine Intranet- und Kommunikationsplattform Zugriff auf die Daten von rund 15.000 mittelgroßen und großen Unternehmen, obwohl der Access Token dort eigentlich nur hinterlegt wurde, um die Übersetzungsdienste von AWS zu nutzen. Auch in Banking Apps wurde man fündig und konnte so Zugriff auf 300.000 hinterlegte Fingerabdrücke erlangen. Bei einem Anbieter von Onlinewetten bekam man dann sogar Lese- und Schreibrechte auf Kundendaten. Alle betroffenen Firmen wurden von Symantec über die Erkenntnisse informiert.
