Schlampige Programmierung:
Wenn Smartphone-Apps zu auskunftsfreudig sind

von Elke von Rekowski (rekowski@tellyou.de)

19.09.2012

Eigentlich sollten Passwörter nicht für jeden sichtbar sein.Doch einigen Entwickler von Apps für das Apple-Betriebssystem iOS scheinen ihre Kunden gleichgültig zu sein, denn sie gehen wenig rücksichtsvoll mit sensiblen Informationen der Nutzer um, warnt jetzt das Sicherheitsunternehmen Bitdefender.

Viele App-Entwickler arbeiten offenbar schlampig und riskieren die Sicherheit ihrer Kunden (Foto: babimu - Fotolia.com).

Einige Applikationen dieser Entwickler gefährden die Sicherheit der Anwender. So hat sich die Annahme der Sicherheitsexperten, dass vertrauliche Daten von den Apps auch vertraulich behandelt werden, nicht in allen Fällen bestätigt. Zum Zeitpunkt der Bitdefender-Analyse verfügte zum Beispiel der »Wi-Fi Finder« von JiWire Inc. beispielsweise über mehr als 65.427 Kundenbewertungen und besaß dreieinhalb Sterne. Die App, die Usern dabei hilft, kostenpflichtige oder gratis Wi-Fi-Netzwerke zu finden, scheint die gesendeten Passwörter nicht zu verschlüsseln. Die App-Tester haben entdeckt, dass das Programm Passwörter als Klartext versendet. Das erleichtert Kriminellen, auch bei nur geringen Spoofing-Kenntnissen, den Einblick in Fremdgeräte erheblich.

Auch bei einer anderen App haben die Anwender das Nachsehen. Diese iOS-Applikation namens »Texthog« ermöglicht es dem Nutzer, seine persönlichen Finanzen und Ausgaben mobil »on the go« im Blick zu behalten. Das kleine Programm verfügt über 1.526 Bewertungen, ist also recht populär. Doch auch diese App sendet Klartext-Passwörter. Die Autosynchronisation mit dem texthog.com-Account könnte schnell zur Spionagefalle werden. Denn wenn diese Sychronisation über ein Wi-Fi-Netzwerk erfolgt, können die sensiblen Daten leicht von Dritten ausgespäht werden.

Ein anderes Beispiel für die Nachlässigkeit der Entwickler ist die App „»Wrecked« von Vurgood Applications, die als Assistent für die Abwicklung von Schadensfällen agiert. Sie wurde bereits von der New York Times, Consumer Reports, Road & Track, Edmunds, CNet und weiteren empfohlen. Die App hilft Nutzern dabei, eine PDF-Datei inklusive Bildern des Unfalls zu erstellen, die im Anschluss direkt an das Versicherungsunternehmen gesendet werden kann. Bei der Analyse hat Bitdefender festgestellt, dass auch diese App Passwörter als Klartext versendet.

Über 9.994 Nutzer-Bewertungen hat die App »Melodis Voice Dialer« von SoundHound. Trotzdem schlampen die Entwickler bei der Verschlüsselung der Kontaktnamen. »Aloha: Hang with friends!« by VodkaCran, Inc. ist eine verbreitete Anwendung, Anwender benachrichtigt, sobald sich ein Freund in der Nähe aufhält. Beide Applikationen handhaben Kontakte und Telefonnummern unsicher, was sie für Anwender zum Risikofaktor macht.

Das Sicherheitsunternehmen geht hart mit den Entwicklern der iOS-Apps ins Gericht. Hinsichtlich der Handhabung sensibler User-Daten erfordere es seitens derEntwickler nur wenige Schritte, um sachgemäße Maßnahmen zu treffen, die Passwörter, Kontaktnamen und Telefonnummern verschlüsselten. Nach Ansicht der Experten können die Risiken, dass derartige Daten kompromittiert werden, nicht außer Acht gelassen werden. Das gilt besonders deshalb, weil Smartphones heute sowohl im Berufs- als auch im Privatleben zum Einsatz kommen.

Verwandte Artikel