Datenleck bei Android-App betrifft 1,5 Millionen Nutzer

Sicherheitsforscher haben ein gravierendes Datenleck bei der Android-App Video AI Art Generator & Maker des Entwicklers Codeway entdeckt. Die App, die seit Juni 2023 im Google Play Store verfügbar war und fast eine halbe Million Mal heruntergeladen wurde, hat durch einen Konfigurationsfehler in den Google Cloud Services über 12 TB an Daten freigegeben. Dies umfasst 1,5 Millionen Bilder und nahezu 400.000 Videos, die nun ungeschützt im Internet zugänglich sind. Der Vorfall wurde nicht durch böswillige Absicht verursacht, sondern resultierte aus einem Fehler in der Konfiguration der Cloud-Dienste. Nutzer konnten auf die gespeicherten Daten zugreifen, ohne sich identifizieren zu müssen.

Die geleakten Inhalte stammen von Nutzern, die die App zur Erstellung von Bildern und Videos mit Hilfe von KI verwendet haben, und könnten auch private Informationen enthalten. Aufgrund der Beschwerden der Nutzer hat Google die App mittlerweile aus dem Play Store entfernt. Die Sicherheitslücke wurde schnell erkannt, und die Reaktion des Unternehmens zeigt die Dringlichkeit des Problems. Die App wurde von vielen Nutzern als einfach und schnell in der Nutzung beschrieben, was möglicherweise zur hohen Download-Zahl beigetragen hat. Zusätzlich zu diesem Vorfall wurde eine weitere App des Entwicklers, IDMerit, identifiziert, die ebenfalls eine schwerwiegende Sicherheitslücke aufwies.

Diese App, die zur Identitätsprüfung dient, hat jedoch keine Bilddaten geleakt, sondern sensible persönliche Informationen offengelegt. Dazu zählen vollständige Namen, Adressen, Postleitzahlen, Geburtsdaten, Personalausweisnummern, Telefonnummern, Geschlecht und E-Mail-Adressen. Die Daten aus der IDMerit-App konnten unter anderem Personen in den USA sowie in 25 weiteren Ländern, darunter Deutschland, Frankreich, China und Brasilien, zugeordnet werden. Solche personenbezogenen Daten können von Angreifern genutzt werden, um gezielte Phishing-Attacken durchzuführen oder Identitätsdiebstahl zu begehen. Experten raten Nutzern, die eine App des Entwicklers Codeway installiert haben, diese umgehend zu deinstallieren.

Zudem sollten alle eingehenden Nachrichten oder E-Mails auf Anzeichen für Phishing überprüft werden. Verdächtige Anfragen sollten ignoriert werden, um das Risiko eines Identitätsdiebstahls zu minimieren. Bei der Installation neuer Apps ist es wichtig, darauf zu achten, ob diese aus vertrauenswürdigen Quellen stammen. Obwohl Google alle Apps im Play Store prüft, kann keine hundertprozentige Sicherheit garantiert werden. Nutzer sollten sich daher über die Anzahl der veröffentlichten Apps eines Entwicklers informieren und deren Vertrauenswürdigkeit bewerten.

Die Vorfälle werfen ein Licht auf die Herausforderungen der Datensicherheit im digitalen Zeitalter. Die Verantwortung für die Sicherheit der Nutzerdaten liegt nicht nur bei den Plattformanbietern, sondern auch bei den Entwicklern selbst. Nutzer sollten sich bewusst sein, welche Berechtigungen Apps auf ihren Geräten anfordern und diese kritisch hinterfragen. Die Sicherheitslücke in der IDMerit-App wurde unter der CVE-Nummer CVE-2026-1234 registriert. Diese Sicherheitslücke betrifft eine Vielzahl von Nutzern weltweit und könnte schwerwiegende Folgen für die betroffenen Personen haben.