Ein Forscherteam der Technischen Universität Darmstadt und des Fraunhofer Instituts für Sichere Informationstechnik (SIT) hat mehrere
Cloud-Dienste wie Amazon AWS und Facebook Parse untersucht und dort rund 56 Millionen ungeschützte Datensätze entdeckt.
Die Forscher spürten E-Mail-Adressen, Passwörter, Gesundheitsdaten und andere sensible Informationen auf. Die Daten stammen von Smartphone-Nutzern, die ihre Daten in
Apps eingegeben hatten. Die Entwickler der Android- und iOS-Apps laden die Informationen dann in die Cloud-Speicher, sichern sie dort aber nach Aussage der Forscher nicht ausreichend.
Dabei bieten die Cloud-Provider sogar ausreichende Sicherheitsmechanismen an. Die App-Entwickler nutzen sie nur nicht. Die Forscher fordern deswegen, dass Apps das Zugangskontrollschema implementieren statt wie bisher oft nur einfache API-Tokens zu verwenden. Angreifer können diese Token leicht extrahieren und dazu nutzen, die gespeicherten Daten auszulesen und sogar zu verändern.
„Eine große Menge App-bezogener Informationen ist von Identitätsdiebstahl und Manipulation bedroht“, sagte der Leiter des Forscher-Teams, Professor Eric Bodden. Er empfiehlt Nutzern, „sich gut zu überlegen, welche Daten sie mit Apps verwalten“.