Studie: Android- und iOS-Apps speichern sensible Informationen unverschlüsselt

Auch Passwörter werden teilweise im Klartext abgelegt. Finanz-Apps haben sich als verhältnismäßig sicher herausgestellt. Social-Networking- und Produktivanwendungen wie Google Mail und Yahoo Mail schnitten deutlich schlechter ab.

Laut einer Studie von ViaForensics speichern viele Android- und iOS-Apps sensible Informationen im Klartext ab. In 76 Prozent der Fälle wurden Nutzernamen unverschlüsselt abgelegt. 10 Prozent der getesteten Anwendungen speicherten gar Passwörter auf dieselbe Weise.

ViaForensics beurteilten die getesteten Apps mit Hilfe eines Ampelsystems. 39 von 100 fielen durch (Bild: ViaForensics).
ViaForensics beurteilten die getesteten Apps mit Hilfe eines Ampelsystems. 39 von 100 fielen durch (Bild: ViaForensics).

Die Sicherheitsforscher führten zwischen November 2010 und Juni 2011 eine Reihe von Tests durch. Sie analysierten Anwendungen aus verschiedenen Kategorien, darunter Apps für Finanzen, Soziale Netze, Produktivanwendungen sowie Shopping-Apps. Jede wurde mit Hilfe eines Ampelsystems bewertet: Rot steht für „Durchgefallen“, Gelb für „Warnung“ und Grün für „Bestanden“. Eine Warnung bedeutete, dass Informationen zwar teilweise nicht akkurat gesichert waren, den Nutzer aber keinem signifikanten Risiko aussetzen.

Von 100 getesteten Apps fielen 39 durch; nur 17 erhielten ein „Bestanden“ und 44 Anwendungen kamen mit einer Warnung davon. Finanz-Apps schnitten dabei am besten ab: 14 von 32 stellten sich als sicher heraus, 10 weitere bekamen gelbes Licht.

ViaForensics zufolge fügten die Entwickler in den meisten Fällen Verschlüsselungen hinzu. Entgegen der Erwartung, eine Verschlüsselung könne die Performance beeinträchtigen, seien alle Apps flüssig zu handhaben gewesen, urteilen die Sicherheitsforscher. Unter den durchgefallenen Anwendungen waren Mint für iPhone und Android, Square für iPhone sowie Wikinvest für iPhone.

Die Social-Networking-Anwendungen schnitten weniger gut ab: 14 von 19 Apps sicherten die Daten gänzlich unzureichend. Keine erhielt grünes Licht, und keine verschlüsselte die Nutzernamen. Viele verschlüsselten zudem weder Passwörter noch Nutzungsdaten – etwa LinkedIn für Android, Foursquare für Android, Kik für iPhone und Android.

Bei den Produktivitätsanwendungen ergab sich ein ähnliches Bild: Nur drei von 35 absolvierten den Test erfolgreich. Unter anderem Apps für Google Mail, iPhone Mail, WordPress und Yahoo Mail speicherten E-Mail-Inhalte im Klartext ab. Die meisten Shopping-Apps kamen mit einer Warnung davon. Zwar bestand keine den Text, aber nur zwei von 14 fielen durch. Die Analysten hoben Groupon für Android hervor, ebenso wie eine inoffizielle Starbucks-App, die die volle Kreditkartennummer eines Anwenders speicherte.

Themenseiten: Android, E-Commerce, Mobil, Mobile, Networking, Soziale Netze, Studie, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Studie: Android- und iOS-Apps speichern sensible Informationen unverschlüsselt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *