July 2015 › Blog über die Onlinewelt

Posts from July 2015.

July 25th 2015
by

Android M: Erstes Update für Developer Preview

Die Developer Preview 2 verbessert Details der neuen Berechtigungsverwaltung und behebt einige Bugs. Erhältlich ist es für einige Nexus-Geräte. Gleichzeitig bestätigte Google, im Zeitplan zu liegen und Android M im Herbst zu veröffentlichen.

Google hat das erste Update für die Vorabversion der nächsten Android-Version herausgebracht, die Developer Preview 2 von Android M. Es ist für die Nexus-Smartphones 5 und 6, das Tablet Nexus 9 und die TV-Box Nexus Player erhältlich, entweder direkt am Gerät oder auf der Download-Seite. Die Updates des SDK, der Dokumentation und der Emulator-Images liefert wie üblich der SDK-Manager.

Das Preview 2 verändert vor allem einige Details der neuen Rechteverwaltung von Android M, wie Google ausführlich erklärt. Einige weitere Aktionen darf nun jede App ohne Rückfrage durchführen, beispielsweise einen Fingerabdruck-Sensor verwenden oder das WLAN ein- und ausschalten. Der Schreibzugriff auf SD-Karten und USB-Geräte hingegen erzeugt nun eine Rückfrage beim Nutzer. Die Sicherheitseinstellungen gelten nun auch für vorinstallierte Apps, auch diese müssen also beispielsweise SD-Zugriffe vom Nutzer genehmigen lassen. Zudem kann eine App abfragen, ob der Nutzer ihr ein Recht schonmal verweigert hat. Google stellt sich vor, dass die App dann eine Erklärung liefern könnte, wofür sie das Recht benötigt.

 

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

Gleichzeitig bestätigt Google den Zeitplan von Android M: Die fertige Version soll im Herbst erscheinen, die API will Google bald finalisieren. Allerdings war das Preview 2 schon für Juni versprochen, es hat also fast zwei Wochen Verspätung. Ein Preview 3 soll noch im “late July” erscheinen, was sich nun aber möglicherweise auf den August verschiebt. (jow)

zum Artikel:

http://www.heise.de/newsticker

July 25th 2015
by

Android M: Erstes Update für Developer Preview

Die Developer Preview 2 verbessert Details der neuen Berechtigungsverwaltung und behebt einige Bugs. Erhältlich ist es für einige Nexus-Geräte. Gleichzeitig bestätigte Google, im Zeitplan zu liegen und Android M im Herbst zu veröffentlichen.

Google hat das erste Update für die Vorabversion der nächsten Android-Version herausgebracht, die Developer Preview 2 von Android M. Es ist für die Nexus-Smartphones 5 und 6, das Tablet Nexus 9 und die TV-Box Nexus Player erhältlich, entweder direkt am Gerät oder auf der Download-Seite. Die Updates des SDK, der Dokumentation und der Emulator-Images liefert wie üblich der SDK-Manager.

Das Preview 2 verändert vor allem einige Details der neuen Rechteverwaltung von Android M, wie Google ausführlich erklärt. Einige weitere Aktionen darf nun jede App ohne Rückfrage durchführen, beispielsweise einen Fingerabdruck-Sensor verwenden oder das WLAN ein- und ausschalten. Der Schreibzugriff auf SD-Karten und USB-Geräte hingegen erzeugt nun eine Rückfrage beim Nutzer. Die Sicherheitseinstellungen gelten nun auch für vorinstallierte Apps, auch diese müssen also beispielsweise SD-Zugriffe vom Nutzer genehmigen lassen. Zudem kann eine App abfragen, ob der Nutzer ihr ein Recht schonmal verweigert hat. Google stellt sich vor, dass die App dann eine Erklärung liefern könnte, wofür sie das Recht benötigt.

 

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

Gleichzeitig bestätigt Google den Zeitplan von Android M: Die fertige Version soll im Herbst erscheinen, die API will Google bald finalisieren. Allerdings war das Preview 2 schon für Juni versprochen, es hat also fast zwei Wochen Verspätung. Ein Preview 3 soll noch im “late July” erscheinen, was sich nun aber möglicherweise auf den August verschiebt. (jow)

zum Artikel:

http://www.heise.de/newsticker

July 11th 2015
by

Vodafone, O2, E-Plus, Telekom – Dieser Anbieter hat das beste Netz und den besten Empfang

  • Die Netzabdeckung zwischen den Mobilfunkanbietern variiert oft gewaltig.
  • Insgesamt hat die Telekom die Nase vorn – andere Anbieter holen jedoch auf.
  • Die besten Smartphones finden Sie in unserer Bestenliste.

Egal ob Samsung, Apple oder Sony: Ohne das richtige Netz wird das neue Spitzen-Smartphone zum teuren Briefbeschwerer. Aber bietet die Telekom wirklich das beste Netz? Oder doch eher Vodafone? Und wie schneiden O2 und E-Plus ab? Verschiedene Fachredaktionen führen regelmäßig Tests in Deutschland durch, um das beste Netz zu ermitteln.

Connect: In Zügen schwächeln alle

Die Fachzeitschrift „Connect“ war auf 45.000 Kilometern in ganz Deutschland unterwegs und hat Telefonie und Datenempfang in Städten und unterwegs getestet. Die Telekom liegt in allen Disziplinen deutlich vor ihren Mitbewerbern und bietet gute Sprach- und Datenqualität – egal ob Großstadt, Kleinstadt oder auf der Autobahn. Abzüge gibt es für die Netznutzung in Zügen: Hier hat die Telekom deutlich Nachholbedarf. Trotzdem liegt der Anbieter noch vor Vodafone, O2 und E-Plus.

Die Connect-Redaktion erklärt: So haben wir getestet

Vodafone auf der Überholspur

Vodafone hat im Vergleich zum Vorjahrestest deutlich aufgeholt und kommt in den Städten an den großen Konkurrenten in Magenta heran. In Kleinstädten und im Zug macht Vodafone allerdings keine gute Figur, liefert aber auf den Straßen eine ordentliche Leistung ab. O2 bietet in Großstädten ein gutes Datennetz, kommt dafür aber in Kleinstädten nicht hinterher. Insgesamt schwächelt O2 bei der Telefonie: lange Rufaufbauzeiten sind die Folge. Das Netz von E-Plus bietet dagegen eine gute Sprachqualität, schwächelt allerdings bei der Datengeschwindigkeit in den Städten.

Chip: Test mit Facebook und WhatsApp

Die Experten der Computerzeitschrift „Chip“ haben auf 5600 Kilometern die Autobahnen und Landstraßen Deutschlands getestet und waren mit speziellen Messrucksäcken in den größten Städten jedes Bundeslandes. Auch hier holt die Telekom Spitzenwerte in allen Kategorien. Egal ob Telefonie, mobiles Internet oder LTE-Netz: Der ehemalige Staatskonzern hat die Nase vorn. Während die anderen Anbieter in Sachen Sprachqualität nahe an die Telekom herankommen, bietet die Telekom das beste Datennetz in den Städten. Das Unternehmen liefert hier hervorragende Werte im Auto, im öffentlichen Nahverkehr und zu Fuß.

 

O2 und E-Plus versagen im Datennetz

Vodafone erzielt laut „Chip“ ebenfalls gute Werte in den Städten und kommt bei der Sprachqualität nahe an die Telekom heran. Auf dem Land schwächelt Vodafone dagegen. Das mobile Internet ist insgesamt ordentlich, weißt aber Probleme in Norddeutschland auf. O2 und E-Plus bieten eine ähnlich gute Sprachqualität, verlieren aber viele Punkte im Datennetz. O2 konnte sein mobiles Internet auf dem Land ein wenig ausbauen, weist hier aber im Vergleich zur Telekom und Vodafone noch Defizite auf. E-Plus bietet ein gutes LTE-Netz, allerdings noch nicht in allen Städten.

„Chip“ hat außerdem beliebte Apps wie Facebook und WhatsApp mit den verschiedenen Mobilfunkanbietern getestet und Upload-Geschwindigkeiten gemessen. Auch hier liegt die Telekom deutlich vorne, gefolgt von Vodafone, O2 und E-Plus.

externer Link zum Artikel:

www.focus.de/digital/handy/

July 10th 2015
by

Vodafone, O2, E-Plus, Telekom – Dieser Anbieter hat das beste Netz und den besten Empfang

  • Die Netzabdeckung zwischen den Mobilfunkanbietern variiert oft gewaltig.
  • Insgesamt hat die Telekom die Nase vorn – andere Anbieter holen jedoch auf.
  • Die besten Smartphones finden Sie in unserer Bestenliste.

Egal ob Samsung, Apple oder Sony: Ohne das richtige Netz wird das neue Spitzen-Smartphone zum teuren Briefbeschwerer. Aber bietet die Telekom wirklich das beste Netz? Oder doch eher Vodafone? Und wie schneiden O2 und E-Plus ab? Verschiedene Fachredaktionen führen regelmäßig Tests in Deutschland durch, um das beste Netz zu ermitteln.

Connect: In Zügen schwächeln alle

Die Fachzeitschrift „Connect“ war auf 45.000 Kilometern in ganz Deutschland unterwegs und hat Telefonie und Datenempfang in Städten und unterwegs getestet. Die Telekom liegt in allen Disziplinen deutlich vor ihren Mitbewerbern und bietet gute Sprach- und Datenqualität – egal ob Großstadt, Kleinstadt oder auf der Autobahn. Abzüge gibt es für die Netznutzung in Zügen: Hier hat die Telekom deutlich Nachholbedarf. Trotzdem liegt der Anbieter noch vor Vodafone, O2 und E-Plus.

Die Connect-Redaktion erklärt: So haben wir getestet

Vodafone auf der Überholspur

Vodafone hat im Vergleich zum Vorjahrestest deutlich aufgeholt und kommt in den Städten an den großen Konkurrenten in Magenta heran. In Kleinstädten und im Zug macht Vodafone allerdings keine gute Figur, liefert aber auf den Straßen eine ordentliche Leistung ab. O2 bietet in Großstädten ein gutes Datennetz, kommt dafür aber in Kleinstädten nicht hinterher. Insgesamt schwächelt O2 bei der Telefonie: lange Rufaufbauzeiten sind die Folge. Das Netz von E-Plus bietet dagegen eine gute Sprachqualität, schwächelt allerdings bei der Datengeschwindigkeit in den Städten.

Chip: Test mit Facebook und WhatsApp

Die Experten der Computerzeitschrift „Chip“ haben auf 5600 Kilometern die Autobahnen und Landstraßen Deutschlands getestet und waren mit speziellen Messrucksäcken in den größten Städten jedes Bundeslandes. Auch hier holt die Telekom Spitzenwerte in allen Kategorien. Egal ob Telefonie, mobiles Internet oder LTE-Netz: Der ehemalige Staatskonzern hat die Nase vorn. Während die anderen Anbieter in Sachen Sprachqualität nahe an die Telekom herankommen, bietet die Telekom das beste Datennetz in den Städten. Das Unternehmen liefert hier hervorragende Werte im Auto, im öffentlichen Nahverkehr und zu Fuß.

 

O2 und E-Plus versagen im Datennetz

Vodafone erzielt laut „Chip“ ebenfalls gute Werte in den Städten und kommt bei der Sprachqualität nahe an die Telekom heran. Auf dem Land schwächelt Vodafone dagegen. Das mobile Internet ist insgesamt ordentlich, weißt aber Probleme in Norddeutschland auf. O2 und E-Plus bieten eine ähnlich gute Sprachqualität, verlieren aber viele Punkte im Datennetz. O2 konnte sein mobiles Internet auf dem Land ein wenig ausbauen, weist hier aber im Vergleich zur Telekom und Vodafone noch Defizite auf. E-Plus bietet ein gutes LTE-Netz, allerdings noch nicht in allen Städten.

„Chip“ hat außerdem beliebte Apps wie Facebook und WhatsApp mit den verschiedenen Mobilfunkanbietern getestet und Upload-Geschwindigkeiten gemessen. Auch hier liegt die Telekom deutlich vorne, gefolgt von Vodafone, O2 und E-Plus.

externer Link zum Artikel:

www.focus.de/digital/handy/

July 10th 2015
by

VMware Workstation: Der Einbruch über Port COM1

VMware Workstation

Über Schwachstellen in VMwares Workstation und Player ist ein vollständiger Zugriff auf das Wirtssystem aus einem Gastsystem heraus möglich. VMware hat bereits Updates veröffentlicht.

Wer in Gastsystemen in VMwares Virtualisierungslösungen Workstation oder Player drucken will, kann dafür einen virtuellen Drucker am Port COM1 nutzen. Mit manipulierten EMF-oder Jpeg200-Dateien kann darüber das Wirtssystem aus dem Gastsystem heraus angegriffen werden, wie Kostya Kortchinsky vom Google Security Team jetzt mitteilte. VMware hat inzwischen die Fehler behoben und eine aktuelle Version seiner Workstation veröffentlicht. Einen Patch gibt es ebenfalls.

Der Fehler liegt in den VMware-Bibliotheken TPView.dll und TPInt.dll, die im Wirtssystem installiert werden. Beide werden von dem Prozess Vprintproxy.exe geladen, der aus dem Gastsystem gesendete Druckaufträge verarbeitet. Speziell manipulierte EMF-Dateien können genutzt werden, um unerlaubte Speicherzugriffe auszulösen.

Updates stehen bereit

Kortchinsky weist darauf hin, dass eine Installation der VMware-Tools in Gastsystemen nicht nötig ist, denn die Angriffe können auch so über den Port COM1 gefahren werden. Die einzige Möglichkeit sich abzusichern besteht darin, den virtuellen Drucker in den Einstellungen zu deaktivieren oder ganz zu entfernen. Der IT-Sicherheitsforscher weist auch darauf hin, dass Vprintproxy.exe lediglich als 32-Bit-Prozess zur Verfügung steht und dass die betroffenen Bibliotheksdateien keine Randomisierung des Speicherlayouts (ASLR) unterstützen.

VMware wurde im März 2015 über die Schwachstellen informiert und veröffentlichte bereits im April 2015 die CVE (Common Vulnerabilities and Exposures) 2015-2336 bis -2340. Jetzt hat VMware die entsprechenden Updates bereitgestellt und Kortchinsky hat gleichzeitig seine Untersuchungen veröffentlicht – samt Exploit.

Repariert wurden die Fehler laut VMware in den Workstation-Versionen 11.1.1 und 10.0.6 sowie im VMware Player in den Versionen 7.1.1 und 6.0.6. In VMwares Horizon Client 3.4.0 und 3.2.1 sowie in der Version 5.4.2 wurde der Fehler ebenfalls behoben. Auch VMware Fusion in den Versionen 7.x und 6.x für Mac OS X sind von einem Problem betroffen, das allerdings in der Interprozesskommunikation RPC liegt. Version 6.0.6 und 7.0.1 beheben diesen Fehler, den der IT-Sicherheitsforscher Dan Kamensky entdeckt hat.

 

zum Artikel:

http://www.golem.de/news/vmware-workstation-der-einbruch-ueber-port-com1-1506-114784.html

July 10th 2015
by

VMware Workstation: Der Einbruch über Port COM1

VMware Workstation

Über Schwachstellen in VMwares Workstation und Player ist ein vollständiger Zugriff auf das Wirtssystem aus einem Gastsystem heraus möglich. VMware hat bereits Updates veröffentlicht.

Wer in Gastsystemen in VMwares Virtualisierungslösungen Workstation oder Player drucken will, kann dafür einen virtuellen Drucker am Port COM1 nutzen. Mit manipulierten EMF-oder Jpeg200-Dateien kann darüber das Wirtssystem aus dem Gastsystem heraus angegriffen werden, wie Kostya Kortchinsky vom Google Security Team jetzt mitteilte. VMware hat inzwischen die Fehler behoben und eine aktuelle Version seiner Workstation veröffentlicht. Einen Patch gibt es ebenfalls.

Der Fehler liegt in den VMware-Bibliotheken TPView.dll und TPInt.dll, die im Wirtssystem installiert werden. Beide werden von dem Prozess Vprintproxy.exe geladen, der aus dem Gastsystem gesendete Druckaufträge verarbeitet. Speziell manipulierte EMF-Dateien können genutzt werden, um unerlaubte Speicherzugriffe auszulösen.

Updates stehen bereit

Kortchinsky weist darauf hin, dass eine Installation der VMware-Tools in Gastsystemen nicht nötig ist, denn die Angriffe können auch so über den Port COM1 gefahren werden. Die einzige Möglichkeit sich abzusichern besteht darin, den virtuellen Drucker in den Einstellungen zu deaktivieren oder ganz zu entfernen. Der IT-Sicherheitsforscher weist auch darauf hin, dass Vprintproxy.exe lediglich als 32-Bit-Prozess zur Verfügung steht und dass die betroffenen Bibliotheksdateien keine Randomisierung des Speicherlayouts (ASLR) unterstützen.

VMware wurde im März 2015 über die Schwachstellen informiert und veröffentlichte bereits im April 2015 die CVE (Common Vulnerabilities and Exposures) 2015-2336 bis -2340. Jetzt hat VMware die entsprechenden Updates bereitgestellt und Kortchinsky hat gleichzeitig seine Untersuchungen veröffentlicht – samt Exploit.

Repariert wurden die Fehler laut VMware in den Workstation-Versionen 11.1.1 und 10.0.6 sowie im VMware Player in den Versionen 7.1.1 und 6.0.6. In VMwares Horizon Client 3.4.0 und 3.2.1 sowie in der Version 5.4.2 wurde der Fehler ebenfalls behoben. Auch VMware Fusion in den Versionen 7.x und 6.x für Mac OS X sind von einem Problem betroffen, das allerdings in der Interprozesskommunikation RPC liegt. Version 6.0.6 und 7.0.1 beheben diesen Fehler, den der IT-Sicherheitsforscher Dan Kamensky entdeckt hat.

 

zum Artikel:

http://www.golem.de/news/vmware-workstation-der-einbruch-ueber-port-com1-1506-114784.html

July 4th 2015
by

Transparenzbericht: Datenschützer stellen WhatsApp schlechte Noten aus

WhatsApp hat Nachholbedarf bei der Aufklärung in Sachen Datenschutz. In einem Rating der amerikanischen Datenschutz-Organisation Electronic Frontier Foundation (EFF) hat der Kurzmitteilungsdienst am schlechtesten von 24 Technologie-Unternehmen abgeschnitten.

Die EFF bewertet die Transparenz beim Umgang mit Datenschutz-Themen. Untersucht wird, ob den Nutzern mitgeteilt wird, wenn die US-Regierung Daten anfordert und wie lang Nutzerdaten, darunter IP-Adressen oder gelöschte Inhalte, bei den Unternehmen gespeichert werden

Außerdem wurde abgefragt, ob darüber informiert wird, wie häufig Regierungen das Löschen von Inhalten oder Konten anfragen und wie oft dem stattgegeben wird. Und es wurde gefragt, ob die Unternehmen sich öffentlich dagegen aussprechen, in ihre Software, Dienste und Technologien Hintertüren einzubauen, über die Informationen abgerufen werden können, ohne dass Nutzer dies bemerken.

Neun Unternehmen sind Klassenbeste

Neun der 24 Unternehmen haben in dem Rating alle Anforderungen erfüllen können, darunter Adobe, Apple, Dropbox und Yahoo. WhatsApp bekam lediglich einen von fünf Punkten, obwohl der Dienst nach der Übernahme durch Facebook nun mit besseren Ressourcen zum Schutz der Daten ausgestattet ist.

Für WhatsApp spreche lediglich, dass man dort Hintertüren für Behörden ablehne. Bei den vier anderen Kriterien fiel der populäre Messengerdienst durch. Bei Google und Amazon bemängelte die EFF fehlende Informationen für Nutzer über Datenanfragen der Behörden sowie über die Datenspeicherung. Bei Facebook und dem Karriere-Netzwerk LinkedIn sieht die EFF Defizite bei Informationen über Behördenanträge zum Entfernen einzelner Inhalte.

“Wir vertrauen den digitalen Serviceprovidern unzählige intime Details über unser Privatleben an. Oft ist die Unternehmenspolitik unsere beste Verteidigung gegen die Einmischung der Regierung”, sagt EFF-Direktor Rainey Reitman. “Technologie-Unternehmen müssen die bestmögliche Datenschutz-Politik haben.”

Transparenzberichte sind die Regel

Die EFF dokumentiert die Datenschutzpolitik von Unternehmen seit vier Jahren. Dabei geht es jedoch nicht darum, wie gut die Daten der Nutzer geschützt sind. Vielmehr steht im Mittelpunkt, wie transparent die Unternehmen ihren Umgang mit den Nutzerdaten machen.

Nach Angaben der EFF veröffentlichen alle untersuchten Unternehmen einen Transparenzbericht über ihren Umgang mit Daten. Außerdem würden inzwischen alle Unternehmen ein Gerichtsbeschluss verlangen, bevor sie Kommunikationsinhalte einzelner Nutzer den Behörden aushändigen.

 

Von:

www.welt.de/wirtschaft/webwelt

July 4th 2015
by

Transparenzbericht: Datenschützer stellen WhatsApp schlechte Noten aus

WhatsApp hat Nachholbedarf bei der Aufklärung in Sachen Datenschutz. In einem Rating der amerikanischen Datenschutz-Organisation Electronic Frontier Foundation (EFF) hat der Kurzmitteilungsdienst am schlechtesten von 24 Technologie-Unternehmen abgeschnitten.

Die EFF bewertet die Transparenz beim Umgang mit Datenschutz-Themen. Untersucht wird, ob den Nutzern mitgeteilt wird, wenn die US-Regierung Daten anfordert und wie lang Nutzerdaten, darunter IP-Adressen oder gelöschte Inhalte, bei den Unternehmen gespeichert werden

Außerdem wurde abgefragt, ob darüber informiert wird, wie häufig Regierungen das Löschen von Inhalten oder Konten anfragen und wie oft dem stattgegeben wird. Und es wurde gefragt, ob die Unternehmen sich öffentlich dagegen aussprechen, in ihre Software, Dienste und Technologien Hintertüren einzubauen, über die Informationen abgerufen werden können, ohne dass Nutzer dies bemerken.

Neun Unternehmen sind Klassenbeste

Neun der 24 Unternehmen haben in dem Rating alle Anforderungen erfüllen können, darunter Adobe, Apple, Dropbox und Yahoo. WhatsApp bekam lediglich einen von fünf Punkten, obwohl der Dienst nach der Übernahme durch Facebook nun mit besseren Ressourcen zum Schutz der Daten ausgestattet ist.

Für WhatsApp spreche lediglich, dass man dort Hintertüren für Behörden ablehne. Bei den vier anderen Kriterien fiel der populäre Messengerdienst durch. Bei Google und Amazon bemängelte die EFF fehlende Informationen für Nutzer über Datenanfragen der Behörden sowie über die Datenspeicherung. Bei Facebook und dem Karriere-Netzwerk LinkedIn sieht die EFF Defizite bei Informationen über Behördenanträge zum Entfernen einzelner Inhalte.

“Wir vertrauen den digitalen Serviceprovidern unzählige intime Details über unser Privatleben an. Oft ist die Unternehmenspolitik unsere beste Verteidigung gegen die Einmischung der Regierung”, sagt EFF-Direktor Rainey Reitman. “Technologie-Unternehmen müssen die bestmögliche Datenschutz-Politik haben.”

Transparenzberichte sind die Regel

Die EFF dokumentiert die Datenschutzpolitik von Unternehmen seit vier Jahren. Dabei geht es jedoch nicht darum, wie gut die Daten der Nutzer geschützt sind. Vielmehr steht im Mittelpunkt, wie transparent die Unternehmen ihren Umgang mit den Nutzerdaten machen.

Nach Angaben der EFF veröffentlichen alle untersuchten Unternehmen einen Transparenzbericht über ihren Umgang mit Daten. Außerdem würden inzwischen alle Unternehmen ein Gerichtsbeschluss verlangen, bevor sie Kommunikationsinhalte einzelner Nutzer den Behörden aushändigen.

 

Von:

www.welt.de/wirtschaft/webwelt

July 1st 2015
by

Unsichere Apps: Millionen Kundendaten gefährdet

 

Unsichere Apps

Noch immer gehen App-Entwickler fahrlässig mit Benutzerdaten um. Eine Studie des Fraunhofer SIT ergab, dass mehrere Millionen Datensätze in der Cloud gefährdet sind – wegen eines zu laxen Umgangs mit der Authentifizierung.

Entwickler legen immer noch bevorzugt geheime Schlüssel und Token für den Zugang zum Cloudspeicher ungeschützt in ihren Apps ab. Mit nur wenig Aufwand lassen sie sich auslesen. Damit könnten sich Kriminelle Zugang zu Datenbanken etwa in den Amazon Web Services (AWS) oder bei Facebook verschaffen. Bis zu 56 Millionen Datensätze seien so gefährdet, schätzt das Fraunhofer Institut für Sicherheit in der Informationstechnik (SIT).

Zusammen mit der Technischen Universität Darmstadt und Experten bei Intel untersuchte das Fraunhofer SIT in einem automatisierten Verfahren etwa zwei Millionen Apps in Googles Play Store und Apples App Store. In vielen sei die einfachste Form der Authentifizierung für den Zugang zu Cloud-Anbietern umgesetzt. Den Entwicklern sei offenbar nicht bewusst, wie unzureichend die von den Apps gesammelten Daten damit geschützt seien.

Uneingeschränkter Zugang zu Kundendaten

Bei ihren Versuchen konnten die Wissenschaftler nicht nur höchst persönliche Daten auslesen, etwa wer mit wem bei Facebook befreundet ist oder gesundheitliche Informationen einiger App-Benutzer. Mit Hilfe der eigentlich geheimen Schlüssel hätten sie komplette Benutzerdatenbanken auslesen oder sogar manipulieren können.

Der Bericht kommt zu dem Schluss, dass Anwender sich kaum aktiv schützen können. Sie sollten daher vorsichtig sein, welcher App sie persönliche Informationen anvertrauen. Entwickler hingegen sollten sich über die Sicherheitsvorkehrungen der Cloud-Anbieter besser informieren und restriktivere Zugangskontrollen in ihren Apps implementieren. Die Forscher haben bereits einige Entwickler über besonders kritische Schwachstellen informiert.

Cloud-Anbieter müssen handeln

Auch mit den Anbietern der Cloud-Dienste stehe das Fraunhofer SIT in Kontakt. Sowohl Amazon als auch Facebooks Parse.com, Google und Apple wurden über den Befund informiert. Den Cloud-Anbietern obliege ebenfalls die Verantwortung, die App-Entwickler dazu zu bringen, nicht nur die schwächsten Authentifizierungen zu nutzen. Außerdem sollten die Cloud-Anbieter nicht bequeme, sondern möglichst sichere Standards zur Pflicht machen.

Das Problem ist nicht neu. Bereits im Juni 2014 machten Forscher an der New Yorker Columbia-Universität eine ähnliche Untersuchung und legten dabei Tausende geheime Zugangs-Token für Amazons Web Services offen. Die Forscher kritisierten damals, dass viele Entwickler den empfohlenen Umsetzungen bei der Programmierung der Apps nicht folgten und geheime Schlüssel direkt in den Quellcode einbetteten. Ihnen sei offenbar nicht bewusst, wie einfach Quellcode zurückübersetzt werden könne. Im März 2014 hatten Forscher Zehntausende AWS-Zugangsdaten auf Github entdeckt.

Erstmalig veröffentlicht auf:

www.golem.de

July 1st 2015
by

Unsichere Apps: Millionen Kundendaten gefährdet

 

Unsichere Apps

Noch immer gehen App-Entwickler fahrlässig mit Benutzerdaten um. Eine Studie des Fraunhofer SIT ergab, dass mehrere Millionen Datensätze in der Cloud gefährdet sind – wegen eines zu laxen Umgangs mit der Authentifizierung.

Entwickler legen immer noch bevorzugt geheime Schlüssel und Token für den Zugang zum Cloudspeicher ungeschützt in ihren Apps ab. Mit nur wenig Aufwand lassen sie sich auslesen. Damit könnten sich Kriminelle Zugang zu Datenbanken etwa in den Amazon Web Services (AWS) oder bei Facebook verschaffen. Bis zu 56 Millionen Datensätze seien so gefährdet, schätzt das Fraunhofer Institut für Sicherheit in der Informationstechnik (SIT).

Zusammen mit der Technischen Universität Darmstadt und Experten bei Intel untersuchte das Fraunhofer SIT in einem automatisierten Verfahren etwa zwei Millionen Apps in Googles Play Store und Apples App Store. In vielen sei die einfachste Form der Authentifizierung für den Zugang zu Cloud-Anbietern umgesetzt. Den Entwicklern sei offenbar nicht bewusst, wie unzureichend die von den Apps gesammelten Daten damit geschützt seien.

Uneingeschränkter Zugang zu Kundendaten

Bei ihren Versuchen konnten die Wissenschaftler nicht nur höchst persönliche Daten auslesen, etwa wer mit wem bei Facebook befreundet ist oder gesundheitliche Informationen einiger App-Benutzer. Mit Hilfe der eigentlich geheimen Schlüssel hätten sie komplette Benutzerdatenbanken auslesen oder sogar manipulieren können.

Der Bericht kommt zu dem Schluss, dass Anwender sich kaum aktiv schützen können. Sie sollten daher vorsichtig sein, welcher App sie persönliche Informationen anvertrauen. Entwickler hingegen sollten sich über die Sicherheitsvorkehrungen der Cloud-Anbieter besser informieren und restriktivere Zugangskontrollen in ihren Apps implementieren. Die Forscher haben bereits einige Entwickler über besonders kritische Schwachstellen informiert.

Cloud-Anbieter müssen handeln

Auch mit den Anbietern der Cloud-Dienste stehe das Fraunhofer SIT in Kontakt. Sowohl Amazon als auch Facebooks Parse.com, Google und Apple wurden über den Befund informiert. Den Cloud-Anbietern obliege ebenfalls die Verantwortung, die App-Entwickler dazu zu bringen, nicht nur die schwächsten Authentifizierungen zu nutzen. Außerdem sollten die Cloud-Anbieter nicht bequeme, sondern möglichst sichere Standards zur Pflicht machen.

Das Problem ist nicht neu. Bereits im Juni 2014 machten Forscher an der New Yorker Columbia-Universität eine ähnliche Untersuchung und legten dabei Tausende geheime Zugangs-Token für Amazons Web Services offen. Die Forscher kritisierten damals, dass viele Entwickler den empfohlenen Umsetzungen bei der Programmierung der Apps nicht folgten und geheime Schlüssel direkt in den Quellcode einbetteten. Ihnen sei offenbar nicht bewusst, wie einfach Quellcode zurückübersetzt werden könne. Im März 2014 hatten Forscher Zehntausende AWS-Zugangsdaten auf Github entdeckt.

Erstmalig veröffentlicht auf:

www.golem.de