sicherheit-pixabay-cc0-777×422

Viele Apps ohne Brute-Force Schutz


Sicherheitslücken in Apps sind immer mal wieder auf der Tagesordnung, allerdings beruhen diese meisten auf bekannt gewordenen Bugs oder Fehlern. Die Sicherheitsexperten von AppBugs haben stattdessen einfach mal die passwortsicherheit von Apps geprüft und dabei geschaut, ob diese gegen Brute-Force Attacken abgesichert sind. Dabei geht es darum bei zu vielen fehlerhaften Loginversuchen beispielsweise eine Account-Sperre* einzurichten oder das Intervall zwischen den Logins immer weiter zu verlängern. Ohne solche Maßnahmen sind Apps gegen automatische Passwort-Anfragen nicht gesichert und Kundenzugangsdaten lassen sich so auf Dauer erraten.

Nach den Angaben von AppBugs  gibt es eine ganze Reihe von Apps, die gegen solche Angriffe nicht abgesichert sind. Darunter sind auch einige sehr bekannte Apps mit mehreren Millionen Downloads:

  • Songza,
  • Pocket,
  • Wunderlist,
  • iHeartRadio,
  • WatchESPN,
  • Expedia,
  • Dictionary,
  • CNN,
  • Domino’s Pizza USA,
  • Zillow,
  • AutoCAD 360,
  • Slack,
  • SoundCloud,
  • Kobo,
  • Walmart

Die Liste ist dabei nicht vollständig sondern nur ein Ausschnitt.

Das größte Problem für Nutzer ist dabei, dass man sich selbst nicht dagegen schützen kann. Wer eine solche App nutzt muss damit rechnen, dass das Passwort maschinell gecrackt wird. Appbugs selbst schreibt zu diesem Problem:

It is very difficult for the affected app user to protect himself/herself from the issue. It does not help if the user stops using the app or uninstalls it because the user credentials on the server remain unchanged and the attacker can still figure them out. If the app account is no longer needed to the user, AppBugs recommends disabling the account. The method for disabling an account varies from one app to another. Users need to contact the app developer if they cannot find out how to disable the account. If the account is still needed, the user can create a new very strong password with over 20 characters. Users should know that even a very strong password is still a temporary mitigation.

 



Wichtig: Hilfe zu inhaltlichen Themen kann am einfachsten in unserem Hilfe-Bereich bekommen werden. Dort kann man schnell und einfach bei Problemen und Schwierigkeiten nachfragen und entweder die Redaktion oder auch fachkundige Nutzer beantworten die Frage. Dazu können dann auch andere Nutzer mit dem gleichen Problem die Lösung dazu lesen und müssen nicht mehr selbst eine Frage stellen.