Apps für Gesundheit und Sicherheit: Wohltäter mit Nebenwirkungen

Apps, die eigentlich dazu dienen, uns ein Gefühl der Sicherheit zu geben, werden zunehmend zu Quellen der Angst. Nehmen wir zum Beispiel 7 Minute Chi – Meditate & Move, eine Meditations-App, die zur Stressreduzierung vermarktet wird, und Robo Spam Text & Call Blocker, ein iOS-Tool, das Nutzer vor Robocalls und Phishing schützen soll. Beide versprachen Sicherheit – die eine für das seelische Wohlbefinden, die andere für die digitale Sicherheit. Stattdessen legten sie durch Sicherheitslücken sensible Nutzerdaten offen und enthüllten eine beunruhigende Wahrheit: Die Apps, denen wir den Schutz unserer Privatsphäre anvertrauen, sind oft die schwächsten Glieder in unserem digitalen Leben.

Die Ironie der undichten sicheren Räume

Der Sicherheitsverstoß bei 7 Minute Chi legte aufgrund einer falsch konfigurierten Firebase-Datenbank die persönlichen Daten von über 100.000 Nutzern offen – Namen, E-Mail-Adressen und App-Geheimnisse wie API-Schlüssel und Facebook-Anmeldedaten. Das ist ein Vertrauensbruch. Die Nutzer suchten Ruhe und Konzentration, nur um dann zu erfahren, dass ihre Daten möglicherweise für Phishing oder Identitätsdiebstahl missbraucht werden könnten.

Außerdem hat Robo Spam Text & Call Blocker, das 93.000 Mal heruntergeladen wurde, 339.000 gemeldete Spam-Nummern, Kundensupport-Tickets mit echten Namen und E-Mail-Adressen sowie wichtige App-Geheimnisse offengelegt. Kriminelle wissen nun, welche Nummern Nutzer blockieren und welche Schlüsselwörter sie vermeiden müssen, und können so Betrugsmaschen entwickeln, die die Filter umgehen.

Diese Lecks sind keine Zufälle, sondern Symptome einer systemischen Nachlässigkeit. Fehlkonfigurationen von Firebase, die Datenbanken öffentlich zugänglich machen, und fest im App-Code verankerte Geheimnisse sind erschreckend weit verbreitet. Unsere Untersuchung zeigt, dass 71 % der 156.080 untersuchten iOS-Apps mindestens ein Geheimnis preisgeben, durchschnittlich 5,2 pro App. Wenn Entwickler Abstriche machen, werden Apps, die eigentlich zum Schutz gedacht sind, zu Werkzeugen für Missbrauch.

Die menschlichen Kosten gebrochener Versprechen

Für die Nutzer sind die Folgen sehr persönlich. Stellen Sie sich vor, Sie erhalten eine Phishing-E-Mail, die sich auf Ihre Meditationsgewohnheiten bezieht und vielleicht sogar die von Ihnen verwendete App oder Ihre Routinen erwähnt – Details, die Sie für privat gehalten haben.

Oder stellen Sie sich vor, Sie nehmen einen Spam-Anruf entgegen, der nicht nur Ihre vertrauenswürdige Sperre umgeht, sondern auch eine Sprache und Taktik verwendet, die auf Ihre gemeldeten Präferenzen und gesperrten Schlüsselwörter zugeschnitten ist, wodurch der Betrug viel überzeugender wirkt.

In beiden Fällen ist das Gefühl der Verletzung tiefgreifend: Informationen, die Sie in dem Wunsch nach Ruhe oder Sicherheit weitergegeben haben, werden nun dazu verwendet, Sie gezielt anzusprechen und zu manipulieren, wodurch vertraute digitale Räume zu Quellen neuer Ängste werden.

Versagen der Rechenschaftspflicht

Weder die Bewertungen im App Store von Apple noch die Sorgfaltspflicht der Entwickler konnten diese Verstöße verhindern. Die Firebase-Instanz von 7 Minute Chi war wochenlang ungeschützt, während die Muttergesellschaft von Robo Spam Text & Call Blocker, die Brantley Media Group, bereits in der Vergangenheit durch Datenlecks aufgefallen war, darunter eine KI-App, die intime Geschichten von Nutzern offenlegte. Dennoch fehlt es dem Ökosystem von Apple, das oft als „Walled Garden“ (geschlossener Garten) wahrgenommen wird, an Mechanismen, um fest codierte Geheimnisse zu scannen oder sichere Cloud-Konfigurationen durchzusetzen.

Was kommt als Nächstes?

Um das Vertrauen wiederherzustellen, muss die Branche folgende Prioritäten setzen:

• Erweiterung der App-Store-Bewertungen um Backend-Sicherheitsprüfungen: Apple und andere Plattformbetreiber sollten vor der Freigabe von Apps automatisierte Scans auf falsch konfigurierte Datenbanken, fest codierte Anmeldedaten und andere Backend-Schwachstellen integrieren.
• Entwickler müssen sichere Codierungsstandards einhalten, regelmäßige Codeüberprüfungen durchführen und automatisierte Sicherheitstesttools einsetzen, um Schwachstellen frühzeitig zu erkennen.
• Bereitstellung von Echtzeit-Visualisierungen und Warnmeldungen zum Datenschutz: Benutzer sollten über Dashboards oder Benachrichtigungen informiert werden, wie ihre Daten verwendet werden, und sofort auf potenzielle Lecks oder verdächtige Aktivitäten aufmerksam gemacht werden.
• Bieten Sie Support und Transparenz nach Sicherheitsverletzungen und benachrichtigen Sie Benutzer im Falle einer Sicherheitsverletzung umgehend, geben Sie Hinweise zu Schutzmaßnahmen und bieten Sie Dienste wie Scans persönlicher Daten an, um Benutzern bei der Wiederherstellung zu helfen.
• Aktualisieren und patchen Sie Apps regelmäßig

Als leitender Forscher dieser Untersuchungen fordere ich die Benutzer dringend auf, höhere Standards zu verlangen. Ändern Sie Passwörter, die bei Sicherheitsverletzungen offengelegt wurden, beschränken Sie die Daten, die Sie an Apps weitergeben, überprüfen Sie Apps vor der Installation so gut wie möglich und üben Sie Druck auf Plattformen aus, strengere Standards durchzusetzen. Bis dahin werden uns genau die Tools, die zu unserem Schutz vermarktet werden, weiterhin ungeschützt lassen.

Autor: Aras Nazarovas ist Informationssicherheitsforscher bei Cybernews, einer forschungsorientierten Online-Publikation. Aras ist auf Cybersicherheit und Bedrohungsanalyse spezialisiert. Er untersucht Online-Dienste, bösartige Kampagnen und Hardwaresicherheit und sammelt Daten zu den häufigsten Cybersicherheitsbedrohungen. Aras hat zusammen mit dem Forschungsteam von Cybernews bedeutende Probleme im Bereich Online-Datenschutz und -Sicherheit aufgedeckt, die Organisationen und Plattformen wie NASA, Google Play, App Store und PayPal betreffen. Das Forschungsteam von Cybernews führt jährlich über 7.000 Untersuchungen durch und veröffentlicht mehr als 600 Studien, um Verbrauchern und Unternehmen dabei zu helfen, Datensicherheitsrisiken besser zu verstehen und zu mindern.