Das Team beleuchtet derzeit in einer Video-Serie Probleme bei Instagram, Vine und etwa 20 weiteren Apps. «Viele dieser Apps verschlüsseln Daten wie Bilder, Textnachrichten oder Audio nicht», betont der Informatiker Ibrahim «Abe» Baggili gegenüber VentureBeat. Einige Programme speichern sogar Passwörter in Klartext auf dem Smartphone. Etwaige Hacker hätten es angesichts solcher Nachlässigkeit leicht.
Im Laufe dieser Woche veröffentlicht Baggilis Team täglich ein Video, um auf Sicherheits-Missstände in weitverbreiteten Apps - mit in Summe 968 Mio. Usern - aufmerksam zu machen. Wer eine der Apps nutzt, riskiert Datenlecks. Das zugrundeliegende Problem ist dabei mangelnde Verschlüsselung. Für Experten ist das zwar keine Überraschung, aber doch beunruhigend. «Wenn der ganze Freundeskreis eine App nutzt, springt man leicht auf diesen Zug auf, egal wie unsicher sie sein mag», erklärt Christian Klein, Regional Solution Manager DACH bei Trend Micro, im Gespräch mit pressetext.
Mitlesen leicht gemacht
Wenn Daten unverschlüsselt übertragen werden, ist es für Angreifer viel leichter diese mitzulesen.
as Team beleuchtet derzeit in einer Video-Serie Probleme bei Instagram, Vine und etwa 20 weiteren Apps. (Symbolbild) /
Besonders gross ist das Risiko, wenn Nutzer WLAN statt Mobilfunk nutzen. Dennoch überträgt beispielsweise Instagram Bilder unverschlüsselt, wie die Cyber Forensics Group festgestellt hat. Auch etliche weitere Apps wie die Kontaktbörse OkCupid oder der Messaging-Dienst Tango übertragen demnach zumindest mache Daten ungesichert - was Nutzern meist unbedingt bewusst ist, wie Baggili betont. Tango speichert zudem vermeintlich private Videos unverschlüsselt auf einem Server.
Ein weiterer Kritikpunkt der Informatiker ist, dass viele Apps Chat-Logs unverschlüsselt auf dem Smartphone speichern. Zu den Sündern zählt beispielsweise Twitters Vidoesharing-Angebot Vine, aber auch das Zynga-Spiel «Words with Friends». Kritisch ist es auch, wenn Apps Passwörter in Klartext auf einem Gerät speichern. Dieses Problem besteht laut Forschern bei den Komminkations-Apps TextMe und Nimbuzz.
Plattformunabhängiges Risiko
Die aktuelle Studie hat zwar nur Android-Apps unter die Lupe genommen und dort Verschlüsselungs-Mängel festgestellt. Doch steht zu befürchten, dass die Resultate bei iOS nicht viel besser wären. «Die Apps sind oft sehr ähnlich geschrieben», erklärt Klein. Er verweist auf das Beispiel WhatsApp, das schon 2012 mit Kritik an mangelnder Verschlüsselung in Apps für diverse Plattformen konfrontiert war. Das Risiko, dass die von Baggilis Team kritisierten Angebote auch in den Apps für andere Plattformen wie iOS Mängel aufweisen, ist durchaus gegeben.
