In der Amazon-App soll eine Sicherheitslücke das unlimitierte Ausprobieren von Passwörtern erlaubt haben. Mittlerweile sei die Lücke geschlossen, berichten die Sicherheitsforscher von FireEye. Die Web-Version von Amazon blendet nach der zehnten falschen Passworteingabe ein CAPTCHA ein, also eine zufällige Buchstaben- und Zahlenreihe, welche der User eintippen muss. Damit stellt Amazon sicher, dass ein Mensch vor dem PC sitzt und nicht ein Hacker-Tool automatisiert versucht, das Passwort per Brute-Force-Attacke zu knacken. Versucht jemand manuell das Passwort durch Ausprobieren herauszufinden, dürfte er spätestens nach dem fünften oder sechsten CAPTCHA entnervt aufgeben.
Doch sowohl die Android- als auch die iOS-Version der Amazon-App hatten dieses CAPTCHA offenbar nicht. Den Forschern zufolge wurde Amazon am 30. Januar von ihnen informiert. Am 19. Februar soll die Lücke dann behoben worden sein. Was erschwerend hinzukommt: Der User-Name bei Amazon ist meist die Mail-Adresse des Nutzers (beziehungsweise eine seiner Mail-Adressen). Wenn der Nutzer das gleiche Passwort für seinen Mail-Dienst gewählt hat, kennen die Hacker nach dem Ausprobieren des Passwortes schon zwei wichtige Zugangsdaten-Paare.
Als ob das noch nicht schlimm genug wäre, fordert Amazon keine strikten Regeln bei der Wahl des Passwortes, schreibt FireEye. Theoretisch akzeptiere der Dienst auch “123456” als Passwort. So ein simples Passwort ist binnen Sekunden gehackt, zumal wenn kein CAPTCHA die Brute-Force-Attacke behindert.
Die Amazon-App sei kein Einzelfall, sagt FireEye. Auch andere App-Entwickler seien ähnlich nachlässig.
Autor: Benjamin Schischka
Seit 2008 Teil der Redaktion. Schreibt am liebsten über Smartphones, Social Media, Sicherheit & Spiele.