Viele App-Entwickler haben ihre Hausaufgaben nicht gemacht: Rund 53 der beliebtesten Android- und iOS-Apps bieten nach Angaben von
Sicherheits-Forschern der Universität Cambridge keinen Schutz vor Brute-Force-Angriffen. Insgesamt seien diese Apps vermutlich 600 Millionen Mal heruntergeladen worden.
Bei einer Untersuchung der Apps stellten die Wissenschaftler fest, dass die Login-Server der jeweiligen Dienste über keine Vorkehrungen gegen Angreifer verfügen, die einfach solange Passwörter ausprobieren, bis sie das richtige gefunden haben. Teilweise sei es möglich gewesen, ein Kennwort in nur 30 Minuten zu knacken. In anderen Fällen habe es bis zu einen Monat gedauert. Dem Anbieter der jeweiligen App seien die Angriffe dabei nicht aufgefallen.
In einem ersten Schritt haben die Forscher die Namen von 15 der betroffenen Apps
veröffentlicht, darunter SoundCloud, CNN, Expedia und Kobo. Sie haben bislang nicht reagiert und die Lücken nicht geschlossen. Anders Wunderlist, Dictionary und Pocket, die die Fehler wohl mittlerweile behoben haben. Die restlichen Namen wollen die Wissenschaftler am 30. Juli veröffentlichen. Bis dahin haben die Entwickler Zeit, die Fehler zu beheben.
Anwender, die Apps verwenden, die per Login auf Webservices zugreifen, sollten nur sichere Passwörter verwenden, die nicht per Wörterbuch-Attacke erraten werden können. Für ein sicheres Passwort gibt es
klare Regeln, die leicht einzuhalten sind.