Die 10 besten Geheimnisse, die iOS-Apps ohne Ihr Wissen preisgeben

Das Herunterladen einer App sollte sicher sein. Leider ist dies nicht immer der Fall. Eine Untersuchung von Cybernews ergab, dass 71 % der iOS-Apps sensible Geheimnisse preisgeben und Ihre Daten gefährden.

Beim Herunterladen einer App erwartet man natürlich, dass die Entwickler Ihre Interessen im Sinn haben. Aber das ist nicht immer der Fall – in der Tat ist es oft genau das Gegenteil.

Die Forscher von Cybernews haben 156.000 iOS-Apps heruntergeladen, was etwa 8 % aller Apps im Apple Store entspricht, und dabei festgestellt, dass App-Entwickler Zugangsdaten im Klartext im Anwendungscode hinterlassen, der für jeden zugänglich ist. Die Ergebnisse zeigen erschreckende Zahlen: 71 % der analysierten Apps geben mindestens ein Geheimnis preis, wobei der Code einer durchschnittlichen App 5,2 Geheimnisse preisgibt.

Ob durch unbeabsichtigte Fehler oder völlige Nachlässigkeit – dies stellt für ahnungslose Benutzer ein erhebliches Sicherheitsrisiko dar. Während viele der häufig durchgesickerten Geheimnisse harmlos erscheinen mögen, können einige Angreifern möglicherweise gefährlichen Zugriff auf Ihre privatesten Daten gewähren.

Was ist ein hartkodiertes Geheimnis?

Das Hartkodieren von Geheimnissen ist die Praxis, sensible Informationen wie API-Schlüssel, Passwörter oder Verschlüsselungsschlüssel direkt in den Anwendungscode einzubetten, der für jedermann zugänglich ist.

Einfach ausgedrückt ist es so, als würde man seinen Hausschlüssel unter der Fußmatte vor der Haustür liegen lassen. Ein Angreifer muss nur darunter schauen, um sich einfachen Zugang zu verschaffen.

Geheimnisse sollten niemals fest im App-Code codiert werden, da sie von Angreifern leicht ausgenutzt werden können. Stattdessen sollten sie sicher auf Ihren Servern gespeichert werden.

Die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) haben das Festcodieren von Geheimnissen als schlechte Sicherheitspraxis identifiziert. Dies scheint Entwickler jedoch nicht davon abzuhalten, weiterhin sensible Informationen ungeschützt im Internet zu hinterlassen.

Welche Geheimnisse werden bei iOS-Apps am häufigsten offengelegt?

Die App benötigt diese Endpunkte, Token und IDs, um verschiedene Dienste und APIs wie Google Cloud, Firebase, Facebook und Werbeplattformen zu authentifizieren, darauf zuzugreifen und sie zu verwalten.

Einige der durchgesickerten Geheimnisse können allein keinen unbefugten Zugriff gewähren, werden aber oft dazu verwendet, andere durchgesickerte Geheimnisse auszunutzen oder Zielendpunkte zu identifizieren. Angreifer können sie nutzen, um Credential-Stuffing- und Brute-Force-Angriffe zu starten oder nach Fehlkonfigurationen und Schwachstellen zu suchen.

Einige der zehn am häufigsten offengelegten Geheimnisse sind jedoch äußerst sensibel, da sie es Angreifern ermöglichen könnten, auf App-Datenbanken mit Benutzerdaten zuzugreifen, wenn die Endpunkte falsch konfiguriert sind.

Diese Geheimnisse könnten Zugriff auf Ihre privaten Daten gewähren

Der Storage Bucket ist eines der sensibelsten durchgesickerten Geheimnisse. Wir haben festgestellt, dass er in 78.343 Apple Store-Apps offengelegt wurde. Diese Endpunktkennung ermöglicht es einer App in der Regel, auf Cloud-Speicherdienste wie Google Cloud Storage oder Amazon S3 zuzugreifen und mit ihnen zu interagieren.

Wenn keine ordnungsgemäße Authentifizierung eingerichtet ist oder die Anmeldedaten einfach im Anwendungscode belassen werden, könnten Angreifer in der Cloud gespeicherte Daten lesen oder löschen und so Benutzerdaten gefährden.

Ein weiteres hochsensibles Geheimnis, das aufgedeckt wurde, ist die Datenbank-URL. Dieser Endpunkt gibt an, wo sich die Datenbank für diese bestimmte App befindet. Bei über 42.000 getesteten Apps war dieses Geheimnis offengelegt.

Wenn der Firebase-Endpunkt nicht gesichert ist oder Authentifizierungsgeheimnisse offengelegt werden, könnten Angreifer auf die in der Datenbank gespeicherten Benutzerdaten zugreifen.

„Dies sind einige der wichtigsten durchgesickerten Endpunkte, da sie angeben, wo Benutzerdaten gespeichert sind, während Datenbanken in der Regel Benutzerinformationen wie Aktivitätsprotokolle, Benutzernamen, E-Mail-Adressen und Passwörter speichern“, erklärte Aras Nazarovas, Sicherheitsforscher bei Cybernews.

„Cloud-Speicher speichern in der Regel Dateien, die von Benutzern hochgeladen wurden, wie z. B. Arbeitsdokumente oder Bilder, die über In-App-Chats gesendet wurden“, fügte er hinzu.

Was können Angreifer mit Ihren Geheimnissen anfangen?

Google Project IDs, Google Ads Application IDs und App IDs sind eindeutige Kennungen, die Apps für die Kommunikation mit Google-Diensten wie Google Maps, Google Analytics, Google Ads, Firebase oder Cloud Storage benötigen.

Angenommen, Angreifer stoßen im App-Code auf diese Kennungen. In diesem Fall können sie sie zur Identifizierung des Ziels verwenden, wodurch es einfacher wird, andere exponierte Anmeldeinformationen oder anfällige Endpunkte zu finden, die ausgenutzt werden können.

In Kombination mit anderen Anmeldedaten, wie API-Schlüsseln, könnten Angreifer versuchen, auf Google-Dienste zuzugreifen, die mit dieser App verknüpft sind. Angreifer könnten auch versuchen, sich als die App auszugeben, wodurch sie unbefugten Zugriff auf Dienste erhalten, private Daten ändern und stehlen oder böswillige Aktionen ausführen könnten, wie z. B. die API mit gefälschten Anfragen zu überlasten.

Während OAuth-Token, die für die Benutzerauthentifizierung unerlässlich sind, in der Regel nicht offengelegt werden, ist die dazugehörige Client-ID eines der am häufigsten durchgesickerten Geheimnisse.

Angreifer können eine durchgesickerte Client-ID verwenden, um gefälschte OAuth-Zustimmungsbildschirme zu erstellen und Benutzer dazu zu bringen, ihnen Zugriff auf ihre Konten zu gewähren. Wenn eine App Token nicht ordnungsgemäß validiert, kann ein Angreifer auch eine gestohlene Client-ID verwenden, um Sitzungen zu kapern.

Diese Geheimnisse könnten Angreifern den Zugriff auf Facebook-Konten ermöglichen.

iOS-Apps geben häufig auch die Facebook-App-ID und das Facebook-Client-Token preis. Diese Geheimnisse helfen dabei, die App im Ökosystem von Facebook zu identifizieren, und ermöglichen Funktionen wie Facebook-Login, Analytics und Sharing.

Angreifer könnten diese Anmeldedaten verwenden, um Phishing-Apps zu erstellen, die legitime Apps imitieren, was möglicherweise zum Diebstahl von Benutzerkonten führt.

Da ein Client-Token verwendet wird, um API-Anfragen an Facebook im Namen einer App zu authentifizieren, könnten Angreifer durchgesickerte Token verwenden, um Anfragen an die Facebook Graph API zu stellen.

Warum sind wir in Schwierigkeiten?

Der Trend, die Geheimnisse im Code offenzulegen, ist weit verbreitet. Die Sicherheitsfirma GitGuardian gab bekannt, dass Entwickler im Jahr 2024 Code mit über 23 Millionen neuen fest codierten Geheimnissen auf GitHub hochgeladen haben.

„Da diese Geheimnisse so weit verbreitet und leicht auszunutzen sind, gilt diese Art von Schwachstelle als die größte Bedrohung für mobile Anwendungen„, so Nazarovas.

„Dies signalisiert böswilligen Akteuren, dass viele Apps anfällig sind und sie sich nicht viel Mühe geben müssen, um sie auszunutzen. Dies motiviert eine große Anzahl von Bedrohungsakteuren, sie in großem Umfang auszunutzen“, fügt er hinzu.

Es gibt globale Sicherheitsbedenken, da die Cyber-Bedrohung niemals schläft und ein einziges Geheimnis, wie ein API-Schlüssel, massive Probleme verursachen kann. Im Dezember 2024 griffen staatlich gesponserte chinesische Hacker aus der Ferne auf das US-Finanzministerium zu, indem sie einen kompromittierten API-Schlüssel von BeyondTrust, einem Anbieter von technischem Support, ausnutzten.

Der Bericht von Verizon zeigt, dass in den letzten zehn Jahren bei 31 % aller Sicherheitsverletzungen gestohlene Anmeldedaten im Spiel waren. Besonders problematisch ist, dass Sicherheitsverletzungen, die durch gestohlene oder kompromittierte Anmeldedaten verursacht werden, am schwierigsten zu erkennen sind. Laut dem Bericht von IBM dauert es durchschnittlich 292 Tage, bis sie identifiziert und behoben werden – länger als bei jeder anderen Angriffsmethode.

Quelle: CyberNews

---

Bild/Quelle: https://depositphotos.com/de/home.html