Forscher entdecken Datenlecks in Instagram, Vine und anderen Android-Apps

Die untersuchten Anwendungen speichern teilweise Bilder und Videos unverschlüsselt auf Webservern, sichern Chatprotokolle im Klartext auf dem Mobilgerät oder versenden Passwörter im Klartext. Das stellten die Forscher der University of New Haven durch eine Analyse des Netzwerkverkehrs fest.

Sicherheitsforscher der University of New Haven haben bei einer Untersuchung des Netzwerkverkehrs von Android-Anwendungen potenzielle Datenlecks in Instagram, Vine, Nimbuzz, OoVoo, Voxer und anderen Apps ausgemacht. Ihre Entdeckungen stellen sie seit Montag täglich per Video im Youtube-Kanal der Cyber Forensic Research and Education Group der Universität vor.

(Bild: University of New Haven)

Als problematisch sehen die Forscher an, dass die untersuchten Anwendungen Bilder und Videos in unverschlüsselter Form auf Webservern speichern, Chatprotokolle im Klartext auf dem Gerät ablegen und Passwörter im Klartext versenden. Im Fall von TextPlus wurden zudem Screenshots von der App-Nutzung gespeichert, die der Anwender nicht angefertigt hat.

„Sicherheit ist nur ein Nebengedanke“, sagt Ibrahim Baggili, Direktor der Cyber Forensics Research and Education Group der Universität und Chefredakteur des Journal of Digital Forensics, Security and Law. Die Leute nähmen an, dass der Versand von Nachrichten, Bildern und Ortsdaten an Freunde mit derselben App nicht öffentlich sei, aber das sei nicht der Fall.

Einige der Datenschutzlücken ähneln denen der Textmessaging-App Viber, über die die Gruppe schon im April berichtet hatte. Der Dienst speicherte Bilddateien unverschlüsselt auf einem öffentlich zugänglichen Webserver. Dasselbe beobachteten die Forscher nun auch bei Facebooks Instagram, OoVoo, Grindr, HeyWire und TextPlus. Außerdem stellten sie weitere Probleme fest.

So legten Tango und MessageMe Videos ebenfalls unverschlüsselt auf einem Server ab. TextMe und Nimbuzz sicherten Passwörter im Klartext auf dem Gerät. Zu den Anwendungen, die Textnachrichten, Bilder, Ortsdaten, Musik- und Videodateien unverschlüsselt über das Netzwerk senden zählen Instagram, OKCupid, OoVoo, Tango, Kik, Nimbuzz, MeetMe, MessageMe, TextMe, Grindr, HeyWire, Hike und TextPlus. (Allerdings senden nicht alle von ihnen alle Daten unverschlüsselt).

Die untersuchten Anwendungen, die Chatprotokolle unverschlüsselt auf dem Mobilgerät speichern, sind Twitters Vine, TextPlus, Nimbuzz, TextMe, MeetMe, SayHi, Kik, OoVoo, HeyWire, Hike, MyChat, WeChat, GroupMe, Whisper, Line, Voxer und Zyngas Words with Friends. Nach Schätzungen der Forscher setzen insgesamt 968 Millionen Nutzer die fraglichen Anwendungen ein.

An Private-Messaging-Funktionen stelle man natürlich „höhere Erwartungen hinsichtlich des Datenschutzes. Man twittert es ja nicht an jeden um sich herum“, so Baggili. Doch die Daten seien oft nicht wirklich geschützt. Im derzeitigen Klima mit Überwachung durch Regierungen und Identitätsdiebstahl könne dies zu einem finanziellen und persönlichen Problem werden.

Die Forscher wurden auf die unverschlüsselten Daten aufmerksam, indem sie den Netzwerkverkehr der Geräte überwachten und per Backup-Software gesicherte Dateien untersuchten. Dabei stellten sie fest, dass Wörter die in den Apps eingaben, im Klartext innerhalb des Netzwerks auftauchten. Bei ihrer Untersuchung beschränkte sich die Gruppe auf Android-Apps, Anwendungen für Apples iOS wurden nicht analysiert.

[mit Material von Stephen Shankland, News.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Datenschutz, Facebook, Secure-IT, Twitter

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Forscher entdecken Datenlecks in Instagram, Vine und anderen Android-Apps

Kommentar hinzufügen
  • Am 10. September 2014 um 12:09 von hamster

    seit wann sind das android-apps? die gibts für jedes mobile-os. kann mir nur schwer vorstellen, dass die sich auf anderen os anders verhalten. soll heißen, dieselben probs werden die apps auch auf anderen os mitbringen.
    die überschrift ist unseriös. auch die uni macht sich damit unseriös.

  • Am 11. September 2014 um 10:11 von Androidappuser

    „Bei ihrer Untersuchung beschränkte sich die Gruppe auf Android-Apps, Anwendungen für Apples iOS wurden nicht analysiert.“

    Daher ist die Überschrift korrekt. Dass die Gruppe sich nur auf Test von Android-Apps beschränkt hat, ist IMHO auch völlig ok. Die Erforschung auf anderen Plattformen dürfen gerne auch andere erledigen.

    Ich finde es jedenfalls super, dass diese Mißstände a) entdeckt und b) hier publiziert wurden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *