Datapp zeigt unverschlüsselte mobile Daten an

Letzten Herbst fielen die Forscher der University of New Haven’s Cyber Forensics Research and Education Group, UNHcFREG, über eine Reihe von Apps her, darunter auch einige, die zu populären sozialen Netzwerken und Kontaktsites gehören, und zwar wegen ihrer Gepflogenheit, Daten in unverschlüsselter Form zu versenden.

Es dauerte nicht lange, und die UNHcFREG wurde von Anrufen und Anfragen überschwemmt, ihre Technologie auch zum Testen anderer Heimnutzer- und Geschäftsanwendungen benutzen zu dürfen. Die Ergebnisse wurden in dieser Woche veröffentlicht, zusammen mit dem Start der öffentlichen Verfügbarkeit von Datapp, eines Programms für Windows 7, das wie ein Wi-Fi-Zugriffspunkt für mobile Geräte agiert, den HTTP-Traffic überwacht und Informationen darüber weitergibt, welche der vom Gerät gesendeten Daten unverschlüsselt geblieben sind.

„Unser Ziel war die Entwicklung eines Systems, in dem ein einfacher Anwender eine Taste drücken kann und sieht, ob die Bilder, die er verschickt hat, verschlüsselt waren oder nicht“, sagte Dr. Ibrahim Baggili, Dozent an der Fakultät für Computerwissenschaften am Tagliatela College of Engineering, Experte auf dem Gebiet IT-Sicherheit und Ermittlung von Computerkriminalität. Baggili leitete ein Projekt, an dem der führenden Entwickler Roberto Mejia sowie der Entwickler Kyle Anthony mitarbeiteten.

Auf einem Windows-Rechner installiert, verwandelt diese kostenlose App einen PC oder ein Notebook in einen Hotspot. Der Anwender kann sein mobiles Gerät damit verbinden und die Anwendung beobachtet den Traffic und zeigt dem Nutzer, was mit dem Traffic passiert.

Sie informiert darüber, welche Anwendungen Anfragen über HTTP oder HTTPS versenden, sortiert unverschlüsselte Abbildungen aus TCP/IP-Paketen und zeigt auf einer Server-Weltkarte, wohin die Daten gehen.

„Die Anwendung funktioniert mit jedem beliebigen unverschlüsselten HTTP-Traffic“, sagteBaggili. „Das ist die Idee dahinter – eine Möglichkeit zu haben, jede beliebige Anwendung zu testen, und wenn sie ungefährlich ist, wird sie von Datapp nicht angezeigt.“

Baggili erklärte, dass Datapp einige Apps für Heim- und Geschäftsanwender zeigt, und fügt als Beispiel hinzu, dass eine der größten Erkenntnisse darin bestand, dass der Facebook Messenger unverschlüsselte Daten sendet.

„Das ist keine Kernphysik, wir überprüfen lediglich, ob eine Anwendung Daten verschlüsselt oder nicht“, sagte Baggili. „Das ist es, was wir herausfinden wollen. Das ist so, als würde man einen „Man-in-the –Middle“ per Knopfdruck erstellen, allerdings nicht um Daten zu stehlen, sondern um den Anwender aufzuklären.“

Nach den Neuigkeiten aus dem September letzten Jahres bezüglich der angreifbaren Android-Apps begannen die Unternehmen, diese zu patchen und sicherzustellen, dass die zu übertragenden Daten verschlüsselt werden.

„Wir meinen, dass die Unternehmen energischer reagieren werden, wenn wir dem Nutzer mehr Wissen an die Hand geben“, fügt er hinzu.

Laut Baggili steht Datapp zum Download bereit, es gibt auch einen Feedback-Link, für den Fall, dass irgendwelche Probleme auftreten sollten. Zum gegenwärtigen Zeitpunkt funktioniert die Anwendung nur unter Windows, doch wie Baggili sagte, werden kommende Versionen auch andere Plattformen und andere Protokolle neben http unterstützen und weitere Datentypen kontrollieren, wie etwa Audio- und Video-Traffic.

„[Früheren Testern] gefiel sie wirklich gut. Wir haben die Anwendung auf ein paar Veranstaltungen getestet, wo wir Leute sich mit der App verbinden ließen, um ihre Anwendungen zu überprüfen“, sagte Baggili. „Wenn die Nutzer das sehen, öffnet es vielen die Augen. Menschen befinden sich auf einer anderen Abstraktionsebene. Wenn eine Anwendung funktioniert, dann ist das cool, und das ist es, was die meisten interessiert. Doch wenn sie ihre Daten mit eigenen Augen überall herumschwirren sehen, dann ist das eine ganz andere Erfahrung.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.