Sicherheitsmängel in bestimmten File Locker Apps

Originalartikel von Simon Huang, Mobile Threats Analyst

Manche Anwender nutzen vor allem die vorhandenen Vertraulichkeits- und Sicherheitseinstellungen auf ihren Smartphones, um ihre Daten zu schützen. Andere wiederum gehen einen Schritt weiter und vertrauen bei der Datensicherheit auf Apps. Dazu gehören auch so genannte „File Locker“-Apps, die als Speicher für sensible Daten dienen, denn sie schützen diese Informationen vor neugierigen Blicken, häufig durch Verschlüsselung und Kennwörter. Doch sind sie wirklich effektiv?
Die Trend Micro Bedrohungsforscher haben die bekanntesten Apps aus Google Play analysiert und herausgefunden, dass die unten aufgeführten nicht halten, was sie versprechen:

  • https://play.google.com/store/apps/details?id=com.tonado.boli.hiper
  • https://play.google.com/store/apps/details?id=com.domobile.applock
  • https://play.google.com/store/apps/details?id=com.newsoftwares.folderlock_v1
  • https://play.google.com/store/apps/details?id=com.mwgo.filelocker

Die Entwickler und auch Google sind über die Ergebnisse informiert worden.

Tip Calculator als Tarnung

File Hide Pro behauptet, Dateien “in Sekunden” verstecken zu können. Dafür tarnt sich die App sogar als Trinkgeld-Taschenrechner (Tip Calculator), um eine weitere Vertraulichkeitsschicht hinzuzufügen. Doch den einzigen Schutz, den die App bieten kann, ist die Umbenennung der Dateien, sodass sie mit „.“ anfangen:


Bild 1. Dateiname vor und nach der Ausführung der “Hide”-Funktion

Die Anwendung erzeugt eine Datei in sdcard/.hermit/.hermit_restore.hider als Index. Diese Dateien liegen in der SD-Karte und können laut Berechtigung von jeder Anwendung im System gelesen werden. Auch lassen sie sich mit einem Datei-Explorer durchblättern. Bösartige Apps oder Nutzer könnten auch /.hermit_restore.hider als Hinweis nutzen, um sie zu finden und zu lesen.


Bild 2. Inhalte von “.hermit_restore.hider”

Versteckte Dateien in einer lesbaren Datenbank

File Locker versteckt die Dateien eines Nutzers, indem er sie in einen festgelegten Ordner /sdcard/ .MySecurityData/dont_remove/ verschiebt. Leider befinden sich sowohl die versteckten als auch die ursprünglichen Dateien in einer SQLite3-Datenbank, und sowohl diese als auch die versteckten Dateien liegen auf der SD-Karte, und zwar „world readable“.

“Sichere” Wallet für Banking-Informationen

Folder Lock versucht, sich von anderen Anwendungen abzusetzen, indem die App eine zweite Wallet für Informationen wie Kreditkartennummern, Passwörter und andeer Banking- oder geschäftsrelevante Daten bietet. Doch statt diese Daten zu verschlüsseln, lagern die Informationen in Klartext im Wallet in einem world-readable Pfad. Andere versteckte Dateien werden in Verzeichnissen mit festem Pfad ohne Verschlüsselung gespeichert.


Bild 3. Beispieldaten in der “Wallet”-Funktion


Bild 4. Beispieldaten, die in Klartext gespeichert sind

Verschlüsselung ohne Schutz

App Lock tut tatsächlich das, was die App behauptet – sie verschlüsselt Dateien. Doch sind die Dateien dennoch nicht sicher, denn die Anwendung verschlüsselt die Dateien mithilfe eines festen, selbstdefinierten Algorithmus. Cyberkriminelle aber können den Entschlüsselungsalgorithmus einfach implementieren, indem sie die .APK-Datei decompilieren. Das bedeutet, dass tatsächlich kein Unterschied zwischen den verschlüsselten und unverschlüsselten Daten besteht.


Bild 5. Dateien sind mit dem Beispielpasswort “123″ gesperrt


Bild 6. Die entschlüsselten gesperrten Dateien mit dem angezeigten Passwort

Es zeigt sich, dass Kennwörter für diese App irrelevant sind. Das gewählte Passwort wird einfach entschlüsselt und im letzten Block jeder verschlüsselten Datei gespeichert. Kurz gesagt, sie werden wie jede andere Datei behandelt. Sobald die Dateien entschlüsselt sind, werden sie zusammen mit den Kennwörtern angezeigt.

Schutz für die Daten

Auf diese Apps und auf die Daten können andere Apps und Konten zugreifen, das aber bedeutet, dass auch harmlose Apps den Zugang haben. Deshalb ist Vorsicht bei der Wahl der App geboten.

Genauso wichtig ist es aber auch zu wissen, dass Apps nicht die einzige Lösung für den Schutz der Daten ist. Beispielsweise können Anwender ihre Dateien und ihre Backups an einem weiteren, sicheren Ort aufbewahren, wie etwa Trend Micro SafeSync. Auch sollten Nutzer zum Schutz der kritischen Informationen die Datenmenge, die auf ihrem Mobilgerät lagert, beschränken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.