Sonntag, 5. Februar 2012

PIN-Abfrage in der Android Market-App nicht sicher

Seit einigen Monaten kann man eine PIN-Abfrage in der Android Market-App einrichten, mit der man verhindern kann, dass man selbst aus Versehen oder andere Nutzer mutwillig Apps kaufen. Diese Sicherheitsmaßnahme kann jedoch, wie sich jetzt herausstellte, problemlos umgangen werden.
Die PIN wird in den Daten der Market-App gespeichert. Wenn man nun unter Einstellungen -> Apps bzw. Anwendungen -> Market den Menüpunkt “Daten löschen” wählt, muss man danach nur noch den Market neustarten. Schon können mühelos und ohne Sicherheitsabfrage Apps über das Google Checkout-Konto gekauft werden.
Das ist umso ärgerlicher, da Google hier Grundprinzipien des Designs von Sicherheitsmechanismen verletzt. Jedem Informatikstudenten im ersten Semester sollte klar sein, dass die PIN in diesem Beispiel nicht lokal gespeichert werden darf – und schon gar nicht in den problemlos löschbaren Daten der Market-App. Derzeit gibt es keinen Workaround, um den Market gegen App-Käufe durch Dritte abzusichern. Wir empfehlen bis zum Erscheinen einer neuen Version der Market-App, eigene Geräte nur vertrauenswürdigen Personen in die Hand zu drücken.

(Quelle: androidnext.de)

Keine Kommentare:

Kommentar veröffentlichen