Das sind die Sicherheitslücken der beliebtesten Apps
15.12.2014
Nur weil eine App besonders beliebt ist, heißt das noch lange nicht, dass es um die Sicherheit gut bestellt ist – WhatsApp lässt grüßen. Die Sicherheitsexperten von mediaTest Digital haben nun für fünf beliebte Apps ermittelt, wo hier Schindluder getrieben wird.
Manche Apps haben gefährliche Sicherheitslücken. Foto: buchachon - Fotolia.com
Nicht immer sind Sicherheitslücken in Apps so schlimm, dass man von ihnen hört. Dies ist meist nur bei namhaften Herstellern und extremen Lücken der Fall. Nun aber haben die Sicherheitsexperten von mediaTest Digital eine groß angelegte Untersuchung der beliebtesten Anwendungen aus den Appstores angestrengt, um herauszufinden, welche Sicherheits-Leichen die Apps im Keller liegen haben. Die Ergebnisse einiger ausgewählter und sehr bekannter Apps sind dabei imposant.
Shazam (Version 7.4.1 für iOS): Mit der Musik-App Shazam werden die eindeutige Gerätenummer IMEI und die MAC-Adresse des Smartphones an Dritte übertragen. So lässt sich ein Smartphone und damit der Nutzer eindeutig identifizieren und verfolgen. Man nennt dies Tracking und Profiling. Auch Standortdaten verschickt Shazam, und zwar sehr oft – warum auch immer, zur Erkennung von Musikstücken ist dies kaum nötig. Die Daten wandern übrigens an ein Werbenetzwerk, bei der iOS-Version wird noch dazu die IDFA (Identifier for Advertisers) mit gesendet.
Quizduell (Version 1.3.2 für Android): Das beliebte Quizduell überträgt nicht nur die Antworten und Fragen des Spiels, sondern auch sogenannte Hash-Werte, eine verschleierte IMEI-Nummer und weitere Daten, und zwar an ein Werbenetzwerk, damit der Anwender zielgerichtete Werbung empfangen kann.
Eurosport (Version 3.7.1 für Android): Die Sportsfreunde unter den Smartphone-Nutzern müssen bei der Eurosport-App damit leben, dass Benutzername und Passwort unverschlüsselt übertragen werden und damit leicht abzufangen sind – wer für mehrere Dienste identische Login-Daten nutzt, lebt hier gefährlich. Ohne zu fragen überträgt die App auch IMEI, Android-ID und die MAC-Adresse – zwar verschlüsselt, aber an ein Werbenetzwerk und ungefragt.
Hotel.de (Version 2.1 für iOS): Hotel.de ist gleich doppelt problematisch. So werden die Buchungsdetails komplett unverschlüsselt übertragen und können so leicht abgefangen und ausgelesen werden – für sich allein schon schlimm. Dazu kommt aber, dass eine solche Form der Datenverarbeitung auch noch nicht konform mit dem Bundesdatenschutzgesetz ist.
The Wall Street Journal (Version 2.4.0 für Android): Die News-App gibt die Daten der Anwender unverschlüsselt weiter, und zwar an ein Werbe-Netzwerk. Auch hier wird nach Ansicht der Experten die IMEI übertragen, aber auch die Android-ID des Benutzers – die bereits beschriebenen Probleme beim Tracking und der Profilierung des Nutzers kommen auch hier zum Tragen.
Die Experten legen Wert darauf, zu betonen, dass nicht nur Android und iOS, sondern auch Windows Phone und Blackberry von diesen Problemen betroffen sind. mediaTest Digital gibt an, über 6.000 Apps untersucht zu haben, mehr als die Hälfte wies diese oder ähnliche Sicherheitslücken auf.
20 Windows-8-Apps rund um Ihre Sicherheit Ein aktueller Virenscanner reicht nicht: Sichere Passwörter, blickdichtes Speichern vertraulicher Infos und etliches mehr bieten diese Windows 8-Apps.
Trend Micro Security Center Über das Trend Micro Security Center bleiben Nutzer über aktuelle Gefahren für ihre Geräte auf dem Laufenden. Die App informiert insbesondere über bösartige Websites und gefährliche Dateidownloads. Sie berücksichtigt dabei auch den Standort des Nutzers.
WiFi Security+ Mit WiFi Security+ kann der Nutzer feststellen, ob die WLAN-Netzwerke, mit denen sein Gerät verbunden ist oder war, sicher sind. Die App sendet dazu Informationen über die entdeckten Verbindungen an einen Cloud-Server, der darauf eine Analyse zurückgibt.
IPCam Pro Mit Hilfe der App IPCam Pro lässt sich die Kamera des Windows-8-Gerätes in eine IP-Kamera verwandeln, deren Bild von anderen Rechnern aus via Browser empfangen werden kann. Damit eignet sich IPCam Pro als simple Raumüberwachungslösung.
eShredder Basic eShredder Basic hilft beim sicheren Löschen von Dateien: Die App überschreibt den Inhalt von Dateien mit Zufallszeichen, bevor sie sie ohne Umweg über den Papierkorb löscht. Die App kann wahlweise auch die Inhalte überschreiben, ohne die Dateien zu löschen.
FileProtector Mit dem FileProtector lässt sich der Zugriff auf einzelne Dateien (Fotos, Texte etc.) per Passwortschutz beschränken. Die App verschiebt die Dateien dazu in einen geschützten Ordner. Gesperrte Dateien lassen sich auch wieder allgemein zugänglich machen.
Network Port Scanner Der Network Port Scanner durchsucht einen IP-Bereich nach ansprechbaren Ports. Innerhalb des eigenen Netzwerks kann er dazu dienen, Sicherheitslücken sichtbar zu machen und Schadsoftware aufzuspüren, die Ports für potentielle Angreifer offen hält.
Safe House In der App „Safe House“ lassen sich persönliche Informationen wie Passwörter und Benutzernamen, Konto- und Kreditkarteninformationen, Versicherungsdaten und ähnliches sicher ablegen. Die Informationen sind nur über einen beim ersten Start der App festgelegten Code zugänglich.
securityNews – it-sicherheit.de Die App „securityNews“ liefert zeitnah sicherheitsrelevante Informationen zu Windows, Mac OS X und Linux, sowie zu mobilen Systemen. Die Schwachstellen-Ampel verdeutlicht, wo die Lücken in den Systemen stecken und das Barometer verrät, mit welchen Methoden Cyberkriminelle aktuell schwerpunktmäßig arbeiten.
Passwortgenerator Der Passwortgenerator erzeugt eine zufällige Kombination von Zeichen (wahlweise mit oder ohne Sonderzeichen, Ziffern oder Buchstaben) in einer vom Nutzer wählbaren Länge, die als Passwort dienen kann. Die App speichert die erzeugten Passwörter nicht.
TXTcrypt Mit TXTcrypt lassen sich Texte (zum Beispiel für E-Mails oder Nachrichten in sozialen Netzwerken) mit Hilfe eines eindeutigen Passworts ver- und wieder entschlüsseln. Die Texte lassen sich über die Zwischenablage zwischen der App und anderen Anwendungen austauschen.
MetroPass Free MetroPass Free ist ein Windows 8-Client für das beliebte Open Source-Tool „KeePass“, und ermöglicht eine sichere Verwaltung von Passwörtern, die in einer verschlüsselten Datenbank auf dem Rechner gespeichert werden.
Hash-it Die App Hash-it berechnet aus Texten oder beliebigen anderen Dateien einen Hash-Tag (wahlweise MD5, SHA1, SHA256, SHA384, SHA512) und kann durch Vergleich mit einem Soll-Hashtag die Integrität der Datei oder Nachricht überprüfen.
Iron Password Iron Password ist vor allem für Administratoren nützlich, die eine größere Zahl von Passwörtern erstellen müssen. Nach Vorgabe von Passwortlänge und Anzahl der Zeichen pro Passwort erstellt die App entsprechend viele zufällige Zeichenkombinationen, und kann sie sogar unsichtbar in die Zwischenablage übertragen.
HashMe Eine Vergleichsfunktion fehlt HashMe, dafür bietet die App Algorithmen zur Berechnung von 24 unterschiedlichen Arten von Hash-Tag aus beliebigen Dateien oder Texten. Auf Wunsch kann der Nutzer mehrere Hash-Tags parallel berechnen lassen.
Secure Album Mit Secure Album lassen sich Fotoalben anlegen, deren Inhalte sowohl über ein Passwort als auch über einen separaten Schlüssel vor neugierigen Blicken geschützt sind. Secure Album lässt die Originalfotos unangetastet – die muss der Nutzer bei Bedarf selbst vom Gerät löschen.
BoxCryptor BoxCryptor ermöglicht die sichere, weil verschlüsselte Lagerung von Dateien auf Cloud-Festplatten wie dem von Microsoft angebotenen SkyDrive oder der bekannten Dropbox. BoxCryptor erstellt dazu auf dem Gerät ein virtuelles Laufwerk, das mit dem Cloud-Dienst synchronisiert wird.
Computer Tracker Dieben auf der Spur: Der Computer Tracker fragt in regelmäßigen Abständen den Standort des Computers ab. Von einem beliebigen Browser aus lässt sich die Adresse ermitteln, die Webcam aktivieren, die Aufnahmen lädt die App dann ins SkyDrive des rechtmäßigen Besitzers.
Privnote Mit Privnote lassen sich Nachrichten verfassen, die sich selbst zerstören, sobald sie gelesen wurden. Die App nutzt dazu den Webservice Privnote.com, und schickt den Empfänger per Teilen-Funktion einen Link zur verfassten Nachricht.
Motion Detect Die App Motion Detect macht Gebrauch von der eingebauten oder einer angeschlossenen Webcam des Gerätes und überwacht die Umgebung auf Bewegungen. Entsprechend konfiguriert, zeichnet sie auf, sobald sich etwas bewegt, und lädt das Video aufs SkyDrive.
Theft Alarm Theft Alarm nutzt den Bewegungssensor des Windows-8-Gerätes, und schlägt Alarm, sobald jemand das zuvor gesperrte Gerät zu entfernen versucht. Der Nutzer selbst kann den Diebstahlsschutz über ein Passwort entschärfen.