Es ist eine der zentralen Stärken von Android: Im Gegensatz zu Apples iOS ist es hier auch möglich, sich Pakete aus anderen Quellen als jenen des Herstellers selbst zu besorgen. So gibt es denn neben dem Play Store noch eine Fülle an alternativen App-Stores. Einer der beliebtesten davon ist nun aber kalt von Hackern erwischt worden – mit reichlich unangenehmen Konsequenzen für die User.

Datenleck

Die Daten von mehr als 20 Millionen Aptoide-Nutzern wurden in vergangenen Tagen in einem populären Hacker-Forum gepostet, berichtet ZDNet. Darin enthalten: jede Menge persönlich identifizierbarer Informationen. Neben Namen und E-Mail-Adresse gehören dazu auch die bei der Registration erfasste IP-Adressen der User sowie Details zu den verwendeten Geräten. Wurde ein Geburtsdatum angegeben, ist auch dieses hier zu finden. Und für Entwickler besonders unerfreulich: Auch die Tokens zur Autorisierung des eigenen Accounts sind enthalten.

Ebenso gelistet sind die gehashten Passwörter. Dies gibt Angreifern nun die Möglichkeit, das dahinter steckende Passwort herauszufinden. Wie groß dieser Aufwand ist – und ob das überhaupt geht –, hängt nicht zuletzt von der Komplexität der gewählten Passphrase ab. Als Hashverfahren kam SHA-1 zum Einsatz, das mittlerweile als nicht mehr zeitgemäß angesehen wird, da es bekannte Schwächen hat. Insofern wird es auch von gängigen Webbrowsern für SSL/TLS-Zertifikate schon seit Jahren nicht mehr unterstützt. Mit genügend Rechenaufwand sollten sich jedenfalls zumindest einfache Passwörter herausfinden lassen.

Passwort ändern

Für betroffene Nutzer ist der zentrale Rat einmal mehr, schnell bei den eigenen Online-Accounts das Passwort zu aktualisieren, bei denen man dieselbe Kombination aus Passwort und Mail-Adresse verwendet hat. Generell raten Sicherheitsexperten dringend davon ab, dieselben Passwörter bei mehreren Seiten zu verwenden, da sonst bei einem einzelnen Hack gleich mehrere Accounts gefährdet sind. Stattdessen empfiehlt sich die Nutzung eines Passwortmanagers.

Wer wissen will, ob der eigene Account betroffen ist, kann dies über die Seite "Have I Been Pwned" machen. Dort hat man die Daten aus dem Hack bereits eingearbeitet. Zudem verweist man auch mit Zahlen auf das Problem der Wiederverwendung von Passwörtern. Immerhin 38 Prozent der Login/Passwortkombinationen der Aptoide-Datenbank kannte man nämlich schon von früheren Hacks.

Offene Fragen

Unklar bleibt dabei, wann der Hack eigentlich überhaupt passiert ist, umfassen die jetzt veröffentlichten Daten doch nur den Zeitraum an Neuregistrierungen zwischen dem 21. Juli 2016 und dem 28. Jänner 2018. Allerdings haben die Hacker nach eigenen Angaben auch noch nicht alle Daten freigegeben. Insgesamt sollen nämlich 39 Millionen User betroffen sein.

In einem Blogeintrag haben die Entwickler von Aptoide mittlerweile auf den Bericht reagiert. Darin betont man, dass die meisten Nutzer nicht betroffen sein sollten, da das Anlegen eines Accounts für die Nutzung des eigenen App-Stores nicht verpflichtend sei. Bei jenen, die sehr wohl ein Konto angelegt haben, habe man die Passwörter aber sicherheitshalber zurückgesetzt. Der Vorfall ist für Aptoide trotzdem äußerst unerfreulich, wirbt man doch auf der eigenen Webseite damit, der sicherste aller Android-App-Stores zu sein. (Andreas Proschofsky, 21.4.2020)