Vorsicht, Bücherwurm! Diese iOS-App plaudert über Ihre Lesegewohnheiten

16. Mai 2025

Lesen mit Risiko: Die iOS-App My Book List – Library Manager hat die persönlichen Daten von rund 42.000 Nutzern offen im Netz zugänglich gemacht. Das haben Sicherheitsexperten von Cybernews aufgedeckt.

Was als praktischer Helfer für Leseratten gedacht ist, könnte zur Gefahr für die Privatsphäre werden. Die App verspricht Nutzern, ihre Büchersammlungen komfortabel zu verwalten, literarische Empfehlungen zu erhalten und sich mit Gleichgesinnten zu vernetzen. Dabei blieb offenbar ein zentrales Versprechen auf der Strecke: der Schutz persönlicher Informationen.

Laut dem Bericht von Cybernews wurden sensible Nutzerdaten wie E-Mail-Adressen und möglicherweise auch Informationen zu den gelesenen oder gespeicherten Büchern öffentlich zugänglich. Das Ausmaß des Datenlecks: betroffen sind etwa 42.000 Accounts. Für Cyberkriminelle sind solche Informationen wertvoll – nicht nur wegen der Kontaktdaten, sondern auch, weil sich aus Leseverhalten und Buchtiteln Rückschlüsse auf persönliche Interessen ziehen lassen.

Noch ist unklar, ob die Daten bereits aktiv missbraucht wurden. Die Entwickler der App haben sich bislang nicht öffentlich zu dem Vorfall geäußert.

Die iOS-App wurde von BigBalli Consulting LLC entwickelt, einem in Kalifornien registrierten Unternehmen. Cybernews hat das Unternehmen mehrfach kontaktiert, jedoch keine Antwort erhalten.

Welche iOS-Buch-App wurde gehackt?

• Buchlisten
• Namen
• E-Mail-Adressen
• IP-Adressen
• Käufe
• Geräte-Metadaten

Warum ist Ihre Buchliste für Hacker interessant?

Wenn es um den Datenschutz im Internet geht, denken Sie vielleicht, dass ein paar Buchtitel hier und da harmlos sind. In Wirklichkeit sind die durchgesickerten Daten aus „My Book List“ jedoch eine Fundgrube für böswillige Akteure, insbesondere wenn es um Phishing-Betrug geht.

Durch die Kombination von Namen und E-Mail-Adressen mit Details aus Ihrer Bücherliste oder anderen persönlichen Daten können Angreifer hochgradig zielgerichtete Nachrichten erstellen, die Sie eher in ihre Falle tappen lassen.

Ihre Bücherliste mag wie eine persönliche Sammlung Ihrer literarischen Vorlieben erscheinen, für einen Hacker ist sie jedoch eine Roadmap für die Erstellung des perfekten Betrugs.

Stellen Sie sich vor, Sie erhalten eine E-Mail, die aussieht, als käme sie von Ihrem Lieblings-Online-Buchladen oder der Buch-App selbst, die Ihnen eine Neuerscheinung empfiehlt. Die E-Mail könnte sogar ein Buch enthalten, das Sie kürzlich zu Ihrer Liste hinzugefügt haben, oder einen ähnlichen Titel, sodass sie vollkommen echt wirkt. In Wirklichkeit handelt es sich jedoch um einen Phishing-Versuch, der Sie dazu bringen soll, auf einen gefälschten Link zu klicken, sensible Daten preiszugeben oder Malware herunterzuladen.

Eine durchgesickerte IP-Adresse kann dabei helfen, Ihren ungefähren Standort zu bestimmen, sodass Betrüger lokalisierte Phishing-Versuche starten können.

Ein Angreifer könnte beispielsweise Ihre IP-Adresse verwenden, um eine E-Mail von einem Dienst zu fälschen, den Sie regelmäßig nutzen, wodurch diese E-Mail legitimer wirkt, da sie scheinbar aus Ihrer Region stammt.

Ein Betrüger kann auch durchgesickerte Gerätemetadaten verwenden, um Angriffe zu entwickeln, die speziell auf Ihre Nutzungsmuster zugeschnitten sind. Wenn er weiß, welches Gerät Sie verwenden, welches Betriebssystem Sie haben oder welche Apps Sie regelmäßig nutzen, kann er Sie mit raffinierteren Angriffen wie gefälschten App-Updates oder Aufforderungen zur „Überprüfung“ Ihrer Gerätesicherheit angreifen.

Die Datenpanne ist auf eine Fehlkonfiguration von Firebase zurückzuführen. Firebase ist als temporärer Speicherplatz gedacht. Wenn dieser voll ist, wird er mit einer permanenten Datenbank synchronisiert und ältere Einträge werden gelöscht. Was derzeit im System sichtbar ist, ist also nur die Spitze des Eisbergs.

Die eigentliche Gefahr besteht darin, dass Hacker Scraper einrichten können, die die Firebase-Instanz ständig überwachen und Daten in Echtzeit abgreifen.

Geheimnisse zum Greifen nah

Erschwerend kam hinzu, dass My Book List über eine falsch konfigurierte Datenbank verfügte und sensible Informationen, sogenannte Geheimnisse, auf der Client-Seite der App speicherte.

Welche Geheimnisse hat die iOS-Buch-App preisgegeben?

• API-Schlüssel
• Client-ID
• Datenbank-URL
• Google App-ID
• Projekt-ID
• Umgekehrte Client-ID
• Speicher-Bucket
• Facebook-App-ID
• Facebook-Client-Token

Die offengelegten Geheimnisse gehören zu den Top 10 der am häufigsten offengelegten Geheimnisse unter iOS-Apps. Cybersicherheitsexperten warnen davor, API-Schlüssel, Anmeldedaten und andere sensible Informationen im Code der veröffentlichten App zu hinterlassen – oder, mit anderen Worten, sie „fest zu codieren“ –, da dies eine gefährliche Praxis ist, die Hackern einfachen Zugriff auf die Backend-Systeme ermöglicht.

Mit diesen Geheimnissen könnte ein Angreifer die gesamte Backend-Infrastruktur der App kartografieren, die Dienste der App missbrauchen, um weitere Nutzerdaten zu sammeln, gefälschte Anfragen generieren oder sogar Spam direkt über die Infrastruktur der App versenden und diese so von innen heraus als Waffe einsetzen.

iOS-Apps geben Daten in großem Stil preis

Die aktuelle Sicherheitslücke wurde im Rahmen einer Untersuchung von Cybernews aufgedeckt, bei der Forscher 156.000 iOS-Apps analysierten, was etwa 8 % des gesamten App Stores entspricht.

Die Forscher machten eine wirklich alarmierende Entdeckung: App-Entwickler codieren sensible Anmeldedaten routinemäßig direkt in ihren App-Code ein, sodass sie für jedermann zugänglich sind. 71 % der analysierten Apps geben mindestens ein Geheimnis preis, wobei der Code einer durchschnittlichen App 5,2 Geheimnisse offenlegt.

Einige Fälle sind äußerst problematisch. Cybernews deckte auf, dass mehrere beliebte iOS-Dating-Apps fest codierte Anmeldedaten preisgaben, die Zugriff auf Cloud-Speicher mit fast 1,5 Millionen Nutzerfotos ermöglichten. Zu den geleakten Daten gehörten gelöschte Bilder, regelwidrige Inhalte und private Bilder, die über private Nachrichten verschickt worden waren.

In einem anderen Fall gab eine iPhone-App, die Familien dabei helfen sollte, den Standort der anderen Familienmitglieder zu verfolgen, tatsächlich GPS-Koordinaten in Echtzeit an das offene Internet weiter.

Ein iPhone-Spam-Blocker, der Nutzer vor Robocalls und bösartigen Textnachrichten schützen sollte, gab blockierte Nummern, Schlüsselwörter und Kundensupport-Tickets mit echten Namen und E-Mail-Adressen weiter.

---

Bild/Quelle: https://depositphotos.com/de/home.html