En automatiseret undersøgelse af sikkerheden i to millioner apps i Googles Play Store og Apples App Store afslører huller i sikkerheden. App-udviklere sløser med sikkerheden og eksponerer hemmelige krypteringsnøgler og tokens i forbindelse med synkronisering af brugerdata i skyen, som kun kræver få kodelinjer at implementere, men omtanke at sikre. Mange apps anvender Backend-as-a-Service (BaaS) ikke bare til at læse brugerdata, men også til at gemme data. Ofte er sikkerheden i den enkelte app så lav, at det er nemt at aflæse en hemmelig nøgle, som er indlejret i appen. Dermed kan kriminelle skaffe sig adgang til databaser med personfølsommme oplysninger via eksempelvis Amazon Web Services (AWS) eller Facebook. Op til 56 millioner datasæt kan være kompromitteret, vurderer det tyske Fraunhofer Institut für Sicherheit in der Informationstechnik, som sammen med det Tekniske Universitet i Darmstadt og eksperter fra Intel har gennemført undersøgelsen. Det lykkedes for forskerne at tilgå private oplysninger, såsom hvem der er venner med hvem og sundhedsdata hos nogle app-brugere. Ved hjælp af de hemmelige personlige nøgler var det også muligt at aflæse fuldstændige brugerdatabaser og endda manipulere disse. Forskerne vurderer, at brugere næppe kan beskytte sig aktivt mod misbruget. Derfor handler det om at være meget forsigtig med, hvilke apps man betror adgang til personlige informationer. Udviklere bør sætte sig ind i de sikkerhedsforanstaltninger som cloud-udbydere tilbyder og implementere mere restriktive adgangskontroller i deres apps, konkluderer forskerne. Flere detaljer om undersøgelsen og råd til udviklere på www.sit.fraunhofer.de/de/appdatathreat/.
kwn
