Auf filearchivehaven.com ist eine Analyse zur Sicherheit 12 beliebter BlackBerry 10 Anwendungen zu lesen. Die Analyse stellt ein “Sniffen” (Erhebung und Auswertung der Gerätekommunikation im Netz) dar. Augenmerk liegt auf den Nutzerdaten und die Verarbeitung dieser Daten.
Nach Meinung des Verfassers sind folgende Apps bedenklich:
- Snap2Chat
- Snap10
- Insta10
- Twittly
Ein geringes Risiko geht aus von:
- Facebook Messenger Lite
- Igrann
- Blaq
- Four Square
Kein Risiko:
- Hub Browser
- Work Wide
- PushBullet
- Meetup for BlackBerry 10
Unter den bedenklichen Apps finden sich 5 Apps von Nemory Studios (8 Apps sind insgesamt in der BlackBerry World). Hauptproblem bei den Apps: unsichere http statt https Verbindungen. Desweiteren wurden Nutzerdaten im Klartext übermittelt.
Nemory hat in seinem Blog darauf geantwortet. Hier kurz die Auszüge aus dem Beitrag und aus einem persönlichen Chat:
- Snap2Chat hat 2 Wochen lang einen Server von Nemory genutzt. Danach wurden die direkte API und Verbindung zu Snap benutzt.
- Es werden Flurry und Smaato SDKs benutzt, wie von BlackBerry empfohlen.
- Nemory wusste nicht, dass diese Dienste über http und nicht https ver-/senden (Anm: sollte aber für einen Entwickler keine Ausrede sein)
- Die Daten, die im Klartext übermittelt wurden (keine Passwörter), sind von der in Snap2Chat genutzten ShoutBox. Dies ist kein Service der App, Nemory wollte es den Nutzer so erleichtern Freunde zu finden und stellte diesen Service selbst zur Verfügung.
- Er wird die Apps patchen und alle unsicheren Verbindungen meiden.
- Die häufigen Verbindungen sind requests für die Überprüfung, ob zu versendende Daten auf dem Server liegen
Desweiteren geht er auf die einzelnen Zieladressen ein:
- https://cloudfront.net – Amazon, speichert Bilder ab. Kein Service von Nemory und wird nicht zur Übermittlung von Nutzerdaten genutzt.
- http://parse.com (KEIN SSL) – Facebook. BlackBerry bietet Parse SDK an, wird für Benachrichtigungen / App Status und nicht zur Übermittlung von Nutzerdaten genutzt.
- http://blogblog.com (KEIN SSL) – Könnte zu smaato gehören und wird nicht zur Übermittlung von Nutzerdaten genutzt.
- http://nemorystudios.blogspot.com (KEIN SSL) – Sein eigener Blog. Wird nicht zum Datenaustausch oder zur Übermittlung von Nutzerdaten genutzt.
- http://ih6.googleusercontent.com (KEIN SSL) – Google. Wird nicht zur Übermittlung von Nutzerdaten genutzt.
- http://chat.facebook.com (KEIN SSL) – Facebook. Facebook Chat QT Bibliothek wird genutzt. (Versand und Empfang von Chat Nachrichten). Der Login für den Messenger nutzt https SSL und Secure OAuth von Facebook (obwohl in OAuth auch schwere Sicherheitslücken bestehen)
- http://translate.google.com – Google. Wird nicht zur Übermittlung von Nutzerdaten genutzt, sondern zur Übersetzung der Texte in der Twittly App. Twittly Login nutzt https SSL und Secure OAuth von Twitter.
- http://waterworldjax.com – Sein eigener Host und Domain – Für Twitter OAtuh genutzt, d.h. es wird nur die Twitter Anmeldeseite über diese URL geladen.
Nemory wird sich der Sache annehmen. Er stellt aber auch die Frage, warum BlackBerry solch riskanten SDKs empfiehlt. Trotzdem entbindet ihn das nicht von der Pflicht, sorgsam und gewissenhaft mit den Nutzerdaten umzugehen. Desweiteren stellt sich die Frage: Warum wird Smaato verwendet wenn gar keine Werbung zu sehen ist?!