Forscher entdecken Datenlecks in Instagram, Vine und anderen Android-Apps

Sicherheitsforscher der University of New Haven haben bei einer Untersuchung des Netzwerkverkehrs von Android-Anwendungen potenzielle Datenlecks in Instagram, Vine, Nimbuzz, OoVoo, Voxer und anderen Apps ausgemacht. Ihre Entdeckungen stellen sie seit Montag täglich per Video im Youtube-Kanal der Cyber Forensic Research and Education Group der Universität vor.

Als problematisch sehen die Forscher an, dass die untersuchten Anwendungen Bilder und Videos in unverschlüsselter Form auf Webservern speichern, Chatprotokolle im Klartext auf dem Gerät ablegen und Passwörter im Klartext versenden. Im Fall von TextPlus wurden zudem Screenshots von der App-Nutzung gespeichert, die der Anwender nicht angefertigt hat.

„Sicherheit ist nur ein Nebengedanke“, sagt Ibrahim Baggili, Direktor der Cyber Forensics Research and Education Group der Universität und Chefredakteur des Journal of Digital Forensics, Security and Law. Die Leute nähmen an, dass der Versand von Nachrichten, Bildern und Ortsdaten an Freunde mit derselben App nicht öffentlich sei, aber das sei nicht der Fall.

Einige der Datenschutzlücken ähneln denen der Textmessaging-App Viber, über die die Gruppe schon im April berichtet hatte. Der Dienst speicherte Bilddateien unverschlüsselt auf einem öffentlich zugänglichen Webserver. Dasselbe beobachteten die Forscher nun auch bei Facebooks Instagram, OoVoo, Grindr, HeyWire und TextPlus. Außerdem stellten sie weitere Probleme fest.

So legten Tango und MessageMe Videos ebenfalls unverschlüsselt auf einem Server ab. TextMe und Nimbuzz sicherten Passwörter im Klartext auf dem Gerät. Zu den Anwendungen, die Textnachrichten, Bilder, Ortsdaten, Musik- und Videodateien unverschlüsselt über das Netzwerk senden zählen Instagram, OKCupid, OoVoo, Tango, Kik, Nimbuzz, MeetMe, MessageMe, TextMe, Grindr, HeyWire, Hike und TextPlus. (Allerdings senden nicht alle von ihnen alle Daten unverschlüsselt).

Die untersuchten Anwendungen, die Chatprotokolle unverschlüsselt auf dem Mobilgerät speichern, sind Twitters Vine, TextPlus, Nimbuzz, TextMe, MeetMe, SayHi, Kik, OoVoo, HeyWire, Hike, MyChat, WeChat, GroupMe, Whisper, Line, Voxer und Zyngas Words with Friends. Nach Schätzungen der Forscher setzen insgesamt 968 Millionen Nutzer die fraglichen Anwendungen ein.

An Private-Messaging-Funktionen stelle man natürlich „höhere Erwartungen hinsichtlich des Datenschutzes. Man twittert es ja nicht an jeden um sich herum“, so Baggili. Doch die Daten seien oft nicht wirklich geschützt. Im derzeitigen Klima mit Überwachung durch Regierungen und Identitätsdiebstahl könne dies zu einem finanziellen und persönlichen Problem werden.

Die Forscher wurden auf die unverschlüsselten Daten aufmerksam, indem sie den Netzwerkverkehr der Geräte überwachten und per Backup-Software gesicherte Dateien untersuchten. Dabei stellten sie fest, dass Wörter die in den Apps eingaben, im Klartext innerhalb des Netzwerks auftauchten. Bei ihrer Untersuchung beschränkte sich die Gruppe auf Android-Apps, Anwendungen für Apples iOS wurden nicht analysiert.

[mit Material von Stephen Shankland, News.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de