Drei Forscher der Columbia Universität in New York haben mit einem aufwendigen Verfahren über eine Million Apps aus Google Play untersucht und fanden Tausende von geheimen Zugangs-Tokens für die Amazon Web Services (AWS) Konte. Trotz Warnung von Amazon und Diensten wie Facebook sind die Entwickler vieler, zum Teil auch sehr populärer Android-Apps unvorsichtig genug, die geheimen Schlüssel fest in den Quellcode einzubauen.

Die drei Forscher der Columbia Universität kommen zu dem Schluss, dass viel zu viele Entwickler es nicht schaffen, den gängigen, von den API-Dokumentationen empfohlenen Umsetzungen zu folgen und statt dessen aus Faulheit oder Unwissen geheime Schlüssel direkt in den Quellcode einbetten. Den Entwicklern sei offenbar nicht bewusst, wie einfach es sei, ihren Quellcode zurück zu übersetzen.

Android_unsicher

Quelle: heise.de