71 Prozent der iOS-Apps von Sicherheitsproblem betroffen

Im Apple App-Store kommt es laut einer aktuellen Untersuchung von Cybernews zu gravierenden Sicherheitslücken. Insgesamt wurden 156.000 Apps im App-Store untersucht. In 71 Prozent davon sollen Entwickler kritische Zugangsdaten wie API-Schlüssel oder Datenbank-URLs im Code hinterlassen. 

Im Durchschnitt gibt jede der untersuchten Apps 5,2 dieser kritischen Daten preis, so die Analyse der Sicherheitsforscher. Betrügerinnen und Betrüger könnten sich so Zugang zu Nutzerdaten oder Online-Diensten verschaffen.

➤ Mehr lesen: Vorsicht: Diese Marken werden am meisten für Phishing missbraucht

Hardcodierte Geheimnisse 

“Hardcoding Secrets” bezeichnet die Praxis, sensible Daten wie API-Schlüssel direkt im Code einer App zu speichern. Das ist unsicher, da Angreifer diese leicht auslesen können. Laut den Forschern sei das vergleichbar mit einem Hausschlüssel unter der Fußmatte.

➤ Mehr lesen: Noch 2025 soll in Österreich die SMS-Firewall kommen

Der Storage Bucket 

Zum einen ist der Storage Bucket vieler Apps betroffen. Also jener Speicherort in der Cloud, wo Apps Bilder, Dokumente oder andere Nutzerdaten ablegen. 

Ist dieser nicht ausreichend abgesichert, können sensible Daten eingesehen, heruntergeladen oder gelöscht werden. Dieses Problem wurde bei 78.343 Apps entdeckt. 

Database URLs und IDs

Die Database URL zeigt, wo die Datenbank der App gespeichert ist. Hacker könnten bei Sicherheitslücken Zugriff auf Passwörter oder E-Mails erhalten. In 42.000 Apps wurde dieses Sicherheitsproblem entdeckt. 

Darüber hinaus haben die Sicherheitsforscher auch offen zugängliche Google- und Facebook-IDs gefunden. Diese IDs verknüpfen Nutzerinnen und Nutzer mit ihren Konten bei Google oder Facebook. Daten wie diese könnten genutzt werden, um gezielte Phishing-Attacken durchzuführen. 

➤ Mehr lesen: Phishing-Fallen: Wiener Polizei sucht Täter mittels Fahndungsfotos

FBI warnt 

Apps benötigen diese kritischen Daten, um Dienste wie Google oder Facebook zu nutzen. Viele dieser Geheimnisse ermöglichen zwar nicht direkt Zugriff auf die Dienste, können aber helfen, Schwachstellen zu identifizieren und für Brute-Force-Angriffe genutzt werden. Das ist eine Methode, bei der Angreifer alle möglichen Passwörter oder Zugangsdaten ausprobieren, bis sie die richtigen finden.

Sensible Daten sollten laut den Sicherheitsforschern stattdessen sicher auf Servern abgelegt werden. Doch obwohl die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) davor warnen, scheinen viele Entwickler diese unsichere Praxis der hardcodierten Geheimnisse weiterhin zu nutzen.