Bericht 2023: Eine umfassende Übersicht über die Sicherheit der Top 100 Apps, erstellt auf Bubble.io

Also available in :

by

Victor Nihoul

-

Apr 24, 2023

-

🇩🇪 German

Da die Technologiebranche weiterhin wächst und sich entwickelt, werden Sicherheit und Datenschutzregelungen zunehmend wichtiger. Dies gilt insbesondere für Anwendungen, die auf der No-Code-Plattform Bubble.io erstellt werden, die immer beliebter wird. Allerdings geht der Anstieg der Beliebtheit auch mit einem erhöhten Risiko von Cyberangriffen einher. Trotz der Benutzerfreundlichkeit sind Bubble.io-Apps nicht immer gut gesichert. Dies liegt hauptsächlich an zwei Faktoren: dem Mangel an Informationen zu bewährten Verfahren und dem Fehlen öffentlicher Informationen zu bestehenden und früheren Schwachstellen/Lecks. Um dieses Problem anzugehen, hat, Flusk einen Bericht zur Analyse der Sicherheit der Top 100 Apps auf der Bubble.io-Plattform erstellt. Unser Hauptziel bei Flusk ist es, die Sicherheit und Zuverlässigkeit des Bubble-Ökosystems zu verbessern. Wir haben über 30 Sicherheitsaudits bei den wichtigsten Akteuren im Bubble-Bereich durchgeführt, und was wir festgestellt haben, ist, dass das Ökosystem mehr Bildung und Werkzeuge benötigt, um es sicherer zu machen. Unser neues Tool, Flusk Vault, führt automatisierte Sicherheitsaudits für Bubble-Anwendungen durch. Sie können sich jetzt anmelden und es ausprobieren, indem Sie dem folgen dieser Link.‍

Durch die Betrachtung der Situation im Jahr 2022 bietet dieser Bericht einen Überblick über die Sicherheit im Bubble.io-Ökosystem, wobei die derzeitigen Sicherheitsmaßnahmen, potenzielle Schwachstellen und Behebungstechniken behandelt werden. Dieser Bericht soll dazu beitragen, ein sicheres, konformes und datenschutzorientiertes Ökosystem zu fördern.

Diese unabhängige Studie wird von einer Gruppe wachsamer und engagierter Bubble-Entwickler mit einem starken Interesse an Sicherheit durchgeführt und ist nicht mit dem Bubble-Team verbunden.

Berichtsmethodik

Für diesen Bericht haben wir eine Methodik verfolgt, die die Sicherheit der 100 beliebtesten Anwendungen, die auf Bubble.io erstellt wurden, anhand spezifischer Schwachstellenkriterien bewertet hat.

Die Top 100 Apps finden, die mit Bubble.io erstellt wurden

Zuerst haben wir eine Liste von Bubble-Apps aus verschiedenen Quellen gesammelt:

  • Technologie-Suchwebsites, insbesondere BuiltWith und Wappalyzer
  • Alle Apps, die von Agenturen aus dem Bubble.io-Agenturverzeichnis erstellt wurden
  • Alle Apps aus dem "App des Tages"-Bereich im Bubble-Forum
  • Alle Links, die zwischen 2018 und 2022 im Bubble-Forum zu einer Bubble-App weiterleiten
  • Andere geringfügige Quellen wie Plugin-Editoren, die ihre Plugin-Installations-App-URLs geteilt haben.

Die folgende Methode wurde dann verwendet, um Apps innerhalb eines Top 100 zu sortieren:

  • Entfernen aller veralteten Apps, nicht-Bubble-Apps oder Apps, die von Bubble selbst erstellt wurden.
  • Entfernen aller Apps mit einem "kostenlosen" oder "Agentur"-Plan.
  • Entfernen aller nicht sensiblen Apps (wie nur Landingpage-Apps oder Apps ohne Kontofunktionen).
  • Für öffentliche Apps Verkehrsstatistiken von SimilarWeb erhalten.
  • Für Apps, die für den internen Gebrauch entwickelt wurden, haben wir Metriken wie die Unternehmensgröße und den Unternehmenswert betrachtet.

Nach einer umfassenden Analyse von 38.453 Links konnten wir 2.640 geeignete Anwendungen für den Bericht identifizieren.

→ Nach weiterer Sortierung bestand unser Top 100-Apps aus 87 Anwendungen, die für die öffentliche Nutzung vorgesehen waren, und 13 ausschließlich für interne Zwecke.

Berücksichtigte Schwachstellenpunkte

Wir haben Tests auf der Liste der Top 100 Apps durchgeführt, um die unten genannten Sicherheitspunkte zu analysieren:

  • Offenlegung sensibler Daten durch Data API-Lecks
  • Offenlegung sensibler Daten aufgrund falsch konfigurierter Datenschutzregeln und Suchen/Datenabrufe auf allen Seiten
  • Unberechtigter Zugriff auf eingeschränkte oder nicht-öffentliche Seiten (z. B. Administrator-Dashboards)
  • Manipulation eingeschränkter Workflows (z. B. Erstellung von Benutzern als Administratoren, Aktivitäten im Zusammenhang mit sensiblen Operationen in Datenbanken usw.)
  • Unberechtigter Zugriff auf Drittanbieterdienste und APIs
  • Daten in Login-Workflows löschen
  • Vulnerabilität von temporären Passwörtern
  • Unberechtigter Zugriff auf API-Endpunkte

Die Tests wurden sowohl manuell als auch mit Hilfe unseres internen Prüfungstools für komplexe Operationen durchgeführt (zum Beispiel, URL-Parameter-Brute-Forcing, XHR-Skripting, usw.). Fortgeschrittene Sicherheitsausnutzungen wurden absichtlich ausgelassen aufgrund der Komplexität ihrer Durchführung auf einem so großen Datensatz (zum Beispiel, Key-to-Path, JSON-Parsing, Cookie-Exploit, usw.). Der Bericht enthält keine geringfügigen Schwachstellen wie Datenbanklecks mit weniger als 50 Einträgen oder geringfügig kompromittierte Aktionen.

Eine Anmerkung zur Ethik

→ Alle Akteure, deren Anwendungen in den Bericht aufgenommen wurden, wurden vor der Veröffentlichung des Berichts über die Schwachstellen informiert. Wir haben ihnen genaue Informationen über die identifizierten Schwachstellen bereitgestellt und ihnen kostenlose Unterstützung bei der Behebung angeboten

→ Es wurden keine Daten aus der Schwachstelle auf lokale Systeme heruntergeladen oder gespeichert, und unser Tool zur Erkennung sensibler Daten unter Verwendung von Google Vertex AI war nur so konfiguriert, dass es sich auf die Schlüsselanalyse verlässt, ohne deren Werte preiszugeben.

→ Es wurden keine Aktionen von einer Website aus über kompromittierten Zugriff oder Aktionen, die möglicherweise eingeschränkt waren, durchgeführt. Stattdessen haben wir nur den Quellcode der App verwendet, um die Sensibilität von Aktionen zu klassifizieren, die durch potenziell kompromittierte Workflow-Triggers ausgelöst wurden.

Die Ergebnisse

Die Ergebnisse der Studie waren besorgniserregend, da der Bericht zeigte, dass 89 % der Top 100 Apps mindestens eine Sicherheitslücke aufwiesen.

89 % der Top 100 Apps zeigten mindestens eine sensible Sicherheitslücke.

Lecks sensibler Daten

Die besorgniserregendsten Ergebnisse wurden hinsichtlich sensibler Datenlecks gefunden.Von den überprüften Top 100 Apps wiesen mindestens 76 von ihnen Sicherheitslücken auf.Insgesamt konnten wir über 2.300.000 Stücke sensibler und persönlicher Informationen identifizieren, darunter amerikanische Sozialversicherungsnummern, Pässe, Scans von Ausweiskarten, private Videoaufzeichnungen von Besprechungen usw.

Ein Teil der Apps mit sensiblen Datenlecks aus den Top 100 Bubble.io Apps. Daten, die weder als sensibel noch als sicher identifiziert werden konnten, werden als "Unbekannt" bezeichnet.

Wir bezeichnen sensible Daten als Informationen, die rechtlichen Vorschriften unterliegen (wie der DSGVO, CPRA oder das Datenschutzgesetz von 1998), interne private Dokumente oder private Informationen über Benutzer, wie Postadresse oder Telefonnummer - mit Ausnahme von E-Mails.

Kompromittierte eingeschränkte Aktionen und Zugang

Die Analyse der Top 100 Apps zeigte, dass 53 von ihnen verwundbare eingeschränkte Zugriffe hatten und 61 von ihnen eingeschränkte Aktionen kompromittiert waren.

Ein Teil der Apps mit kompromittierten Aktionen aus den Top 100 Bubble.io Apps. Die Aktionen, die weder als sensibel noch als sicher klassifiziert werden konnten, werden als "Unbekannt" bezeichnet.

Dieser Screenshot zeigt ein Beispiel für ein kompromittiertes Administrator-Dashboard mit sensiblen Aktionen in der öffentlichen/live Datenbank.

Drittanbieter- oder API-Schwachstellen

Von den 100 überprüften Top-Apps wiesen 18 von ihnen Schwachstellen auf.

Ein Teil der Apps mit Drittanbieter- oder API-Schwachstellen aus den Top 100 Bubble.io Apps. Die Dienste, die weder als sensibel noch als sicher eingestuft werden konnten, oder für die wir keinen potenziellen Zugang bestätigen konnten, werden als "Unbekannt" bezeichnet.

Dieser Screenshot zeigt ein Beispiel für einen kompromittierten Drittanbieterdienst mit vollständigem Administratorzugriff auf sensiblen Inhalt und Aktionen.

Beteiligte Entwicklungsakteure

Among the 89 apps that exhibited vulnerabilities, we were able to identify the origin of the app development for 75 of them.

  • Ungefähr 92 % der von unabhängigen Unternehmern oder Unternehmen erstellten Apps wiesen Schwachstellen auf.
  • Ungefähr 65 % der von Bubble-Agenturen erstellten Apps wiesen Schwachstellen auf.
  • Ungefähr 82 % der von Freelancern oder unabhängigen Entwicklern erstellten Apps wiesen Schwachstellen auf.

Schlussfolgerung

Bubble.io ist eine sichere Plattform, die starke Schutzmaßnahmen für die Datensicherheit implementiert hat. Die breite Verfügbarkeit und die intuitive Benutzeroberfläche machen sie jedoch für ein breites Publikum zugänglich, das möglicherweise kein umfassendes Verständnis für Cybersicherheit oder aktuelles Wissen über Datenschutzbestimmungen hat, was potenziell Risiken für die Endbenutzer birgt. Dieses Phänomen scheint durch den Mangel an angemessenen Informationen über Sicherheitspraktiken und einem Mangel an öffentlichen Berichten über frühere oder bestehende Schwachstellen noch verstärkt zu werden. Es ist auch notwendig, diese Beobachtung mit dem exponentiellen Wachstum von No-Code-Tools, insbesondere Bubble, in Zusammenhang zu bringen. Immer mehr Anwendungen werden mit Bubble.io erstellt, daher haben statistisch gesehen immer mehr Anwendungen Sicherheitslücken. Es ist notwendig, so bald wie möglich Maßnahmen zu ergreifen, um dieses Ökosystem sicher zu halten und keine Glaubwürdigkeit zu verlieren.

                                                   Wachstumskurve der Anzahl der auf Bubble.io ausgeführten Apps zwischen 2013 und 2022. Quelle: BuiltWith.

Es ist daher dringend erforderlich, das Bewusstsein bei den verschiedenen Akteuren zu schärfen, einschließlich Einzelunternehmern, Freelancern und Agenturen.

Aufbau einer sicheren Bubble-Anwendung.

Nach der Durchführung von mehr als 30 manuellen Audits für Bubble-Anwendungen hat unser Team eine innovative interne Anwendung entwickelt, um den Prozess zu beschleunigen. In Absprache mit den Agenturinhabern wurde deutlich, dass ein hochleistungsfähiges Sicherheitstool ihre Qualitätssicherungsverfahren verbessern und die Bereitstellung sicherer Anwendungen erleichtern könnte. Dementsprechend haben wir mit mehr als 15 Agenturen und über 50 Bubble-Freelancern zusammengearbeitet, um eine automatisierte Lösung zu entwickeln, die unsere manuellen Bemühungen reproduziert. Kürzlich haben wir Flusk Vault, eingeführt, ein hochmodernes Tool, das entwickelte, um Bubble-Entwicklern, Agenturen und Unternehmern dabei zu helfen, sichere Anwendungen zu starten, die frei von Datenverstößen oder kompromittierten Zugangspunkten sind.

Dieser Screenshot zeigt ein konkretes Beispiel von Flusk Vault auf einer Testanwendung.

Nachdem Sie diese Studie gelesen haben, möchten wir Ihnen dafür danken, dass Sie sich für solch wichtige Themen im Bubble-Ökosystem interessieren, indem wir Ihnen einen Rabatt von 10% auf Ihre erste Flusk Vault-Lizenz anbieten. Sie können sich diesen Link und verwenden Sie den folgenden Code beim Checkout: “SECURITYSTUDY4800”.
Hier ist schneller Artikel über die Anwendung von Rabattcodes.

Wir haben auch ein kostenloses Buch über Bubble-Sicherheit veröffentlicht, das Ihnen beibringt, wie Sie sichere Anwendungen erstellen können. 80 Seiten mit konkreten Beispielen, überprüft von Bubble und 15 Experten-Bubble-Entwicklern: 🔗 Das Bubble Sicherheits-Spickzettel 2023

Bewertung durch Bubble-Experten

Wir haben diesen Bericht an anerkannte Bubble-Experten geschickt, um zu erfahren, was sie über die Ergebnisse denken und wie ihre Arbeit die Sicherheit auf Bubble verbessern kann.

Petter Amlie profile picture

Petter Amlie

Petter ist ein bekannter und anerkannter Experte im Bubble-Ökosystem. Er ist der Autor von Der Ultimative Leitfaden zur Bubble-Sicherheit und Der Ultimative Leitfaden zur Bubble-Performance. Er arbeitet auch mit Bubble an der Produkt-Dokumentation.

Was denkst du über die Ergebnisse dieser Studie?

“Sie sind sicherlich ernüchternd, aber nicht überraschend. Bubble bietet zwar eine starke Sicherheit, aber es ist immer noch ziemlich schwierig, eine App einzurichten, die alle potenziellen Schwachstellen anspricht, zumindest im Vergleich zur Benutzerfreundlichkeit anderer Teile ihrer Plattform. Eine Herausforderung besteht darin, dass die meisten Schwachstellen nicht ignoriert werden, aber die Entwickler wissen nicht, dass sie existieren. Dies zu einem Gespräch mit hoher Priorität in der Community zu machen, ist wichtig.”

Was denkst du ist die Hauptursache dieses Ergebnisses?

“Ich denke, es gibt mehrere Gründe. Vielleicht vor allem stimme ich zu, dass Bubble ein Publikum anzieht, das keine Erfahrung mit Cybersecurity hat, und das zeigt sich. Sie haben möglicherweise auch keine Erfahrung mit Design und Arbeitsablauflogik, aber die sofortigen WYSIWYG-Ergebnisse zwingen sie zum Lernen. Sicherheitslücken sind größtenteils unsichtbar und sehr schwer bewusst zu sein, wenn man nicht informiert wird. Zweitens hat die Sicherheit für viele Unternehmen eine geringe Priorität: Die meisten ändern ihre Praktiken erst, nachdem sie gehackt wurden, daher ist das nicht einzigartig für Bubble. Es ist besonders schwer zu priorisieren, wenn Sie ein Start-up gründen und hoffen, es schnell auf den Markt zu bringen, und das Erlernen von Sicherheitsaspekten wie eine unüberwindliche Herausforderung erscheint. Es handelt sich auch um einen negativen Kreislauf, in dem viele Benutzer ihre App erstellen, während sie lernen, und Sicherheit ist oft das letzte, worüber sie nachdenken. Das Schiff umzudrehen und nachträgliche Änderungen an ihrer App vorzunehmen, ist keine verlockende Aufgabe.”

Welche Lösungen halten Sie für effektiv, um das Bubble-Ökosystem besser abzusichern?

“Bewusstsein ist offensichtlich an erster Stelle. Ich glaube nicht, dass die großen Hackergruppen bereits so viel über Bubble wissen, aber mit Sicherheit werden Bot-Netzwerke eingerichtet, die bekannte Schwachstellen ausnutzen, und wenn das passiert, könnten Tausende von Apps gleichzeitig exponiert werden: und wer weiß, wie viele Benutzerdaten. Die Dokumentation von Bubble muss weiter verbessert werden, und um neue und gelegentliche Bubble-Nutzer für bewährte Sicherheitspraktiken zu gewinnen, reichen Drittanbieter-Ressourcen wie Bücher und Ihre Audit-Plattform nicht aus: Bubble muss daran arbeiten, das Bewusstsein zu stärken und Entwicklern zu helfen, die besten Praktiken früh im Produktentwicklungsprozess zu verstehen.”

Wie tragen Sie zur Sicherheit des Bubble-Ökosystems bei?

“Mein offensichtlichster Beitrag ist wohl das Buch und hoffentlich die Arbeit, die ich am Handbuch leiste. Sicherheit wird sicherlich einen großen Teil dieser Arbeit ausmachen, auch wenn wir in der Entwicklung des Handbuchs noch nicht an diesem Punkt angelangt sind. Ich führe Coaching-Sitzungen und Schulungen/Bootcamps durch, aber die große und bedeutende Nutzerzahl wird über die Bücher, Artikel und das Handbuch erreicht.”

Glauben Sie, dass externe Sicherheitslösungen (nocode:nohack, ncScale, Flusk) ihren Platz im Ökosystem haben? Warum?

“Ja, auf jeden Fall. Sicherheit ist eine Angelegenheit von Struktur und Wiederholung: Überprüfungen und erneute Überprüfungen. Nehmen wir an, ein System wie Flusk kann vor jeder Bereitstellung 80% der potenziellen Schwachstellen aufdecken - das ist natürlich viel besser als 0%, und noch wichtiger ist, dass dies jedes Mal geschieht. Selbst wenn es 20% Ausnahmefälle gibt, die immer noch durchrutschen, würde ich sagen, dass dies immer noch eine erhebliche Verbesserung darstellt. Ich erfinde diese Zahlen, um meinen Standpunkt zu veranschaulichen, aber ja: Wenn Software menschlich verwaltete Checklisten ersetzen kann, ist garantiert, dass die menschliche Fehlerrate sinkt.”

Wenn Sie allen, die Bubble lernen, einen Sicherheitstipp geben müssten, welcher wäre es?

“Ich gebe dir zwei: Lerne die Datenschutzregeln und lerne den Unterschied zwischen Client-Seite und Server-Seite.”

Benoit De Montecler profile picture

Benoît de Montecler

Benoît ist Mitbegründer von ncScale, dem ersten Tool, um dein No-Code zuverlässig, sicher und wartbar zu machen.

Was denkst du über die Ergebnisse dieser Studie?

"Diese Ergebnisse sind besorgniserregend, weil sie sich innerhalb eines Jahres verschlechtert haben. Die Anzahl der Anwendungen hat sich mehr als verdoppelt, und Tausende von neuen Bubble-Nutzern kommen hinzu und übersehen die Sicherheit für ihre ersten Anwendungen. Wie bei jeder neuen Technologie entdecken wir nach und nach ihre Schwächen. Das bereitet mir keine Sorgen, weil es dem folgt, was mit dem Code passiert ist. Code-basierte Anwendungen haben genauso viele Schwachstellen, aber Entwickler sind besser ausgestattet, um sie zu überwachen, im Gegensatz zu No-Code. Neue Tools wie Flusk oder ncScale zeigen, dass die Dinge in die richtige Richtung gehen.
Entgegen der gängigen Meinung sind gute No-Coders genauso selten wie gute Entwickler.
Es ist jetzt für Unternehmen unerlässlich, No-Code zu beherrschen, da es zu einem Wettbewerbsvorteil geworden ist. Eine 10-fach schnellere Entwicklung als ein Konkurrent darf nicht auf Kosten der Qualität gehen, und dies ist jetzt dank dieser neuen Tools möglich."

Was denken Sie, ist die Hauptursache für dieses Ergebnis?

“Neulinge bei Bubble verwenden dieses Tool so, wie sie es bei jeder anderen SaaS-Plattform tun würden, die Benutzer daran hindert, Sicherheitslücken zu schaffen. Dank seiner nachsichtigen Herangehensweise ist Bubble in Bezug auf Anpassungsfähigkeit sehr leistungsstark. Dies ist es, was es zu seinem wichtigsten Vermögenswert und seiner Hauptschwäche macht.”

Welche Lösungen halten Sie für wirksam, um die Sicherheit des Bubble-Ökosystems zu verbessern?

“Bubble sollte Apps scannen und proaktiv bei bestimmten offensichtlichen Dingen sein, wie:
- Benachrichtigung, wenn sensible Daten öffentlich sind.
- Machen Sie unnötige öffentliche Elemente privat, wie die Liste der Seiten, die Datenbankstruktur und die Liste der verwendeten APIs von Drittanbietern.
- Wenn wir Bubbles Sicherheitstools betrachten, sehen wir, dass es immer mehr davon gibt, was ein gutes Zeichen ist! Es begann mit Tinkso dann ncScale und schließlich Flusk! Das geht in die richtige Richtung, und ich hoffe, dass noch andere kommen werden!”

Wie trägt ncScale zur Sicherheit und Zuverlässigkeit des Bubble-Ökosystems und der No-Code-Branche im Allgemeinen bei?

“Wir haben die Funktionen unseres Sicherheits-Plugins 'nocodenohack' in ncScale, wieder integriert und gerade Warnmeldungen für Bubble-Logs gestartet. Dies ermöglicht es uns, nicht autorisiertes Verhalten in Echtzeit zu überwachen, wie zum Beispiel nicht autorisierten Zugriff auf eine Admin-Seite durch einen Benutzer, Fehler zu erkennen, die Benutzer blockieren, oder eine ungewöhnliche Spitze in der Nutzung einer Funktionalität zu erkennen.”

Wenn Sie allen, die Bubble lernen, einen Sicherheitstipp geben müssten, welcher wäre es?

“Wenn es eine Sache gibt, die du dir merken solltest, um deine Bubble-App abzusichern, dann ist es, dass du deine Datenbank entwerfen und gleichzeitig deine Datenschutzregeln einrichten musst! Wenn du beides nicht parallel machst, wird es schwer abzusichern und das Risiko von Fehlern ist sehr hoch.”

Ressourcen

Unmittelbare Lösungen umfassen Ressourcen von bekannten Akteuren, wie zum Beispiel:

Dieser Bericht basiert auf einer Studie, die im Dezember 2022 von Flusk durchgeführt wurde.

Wenn Sie den Inhalt dieses Artikels verwenden oder erneut veröffentlichen möchten, kontaktieren Sie bitte inquiries@flusk.eu um Erlaubnis.