Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

App SicherheitÜber 70 Prozent der Apps zur Verwaltung und Anzeige von Dokumenten sind für den Unternehmenseinsatz ungeeignet. Hybride Apps bringen zusätzlich Websicherheitsrisiken in die App-Welt. 

Viele Apps für Mobilgeräte haben schwerwiegende Sicherheitslücken, die Angreifer nutzen können, um in Unternehmen erhebliche Schäden zu verursachen. Zu diesem Ergebnis kommt der neue Appicaptor-Security-Index des Fraunhofer-Instituts für Sichere Informationstechnologie.

Erstmalig untersuchten die Sicherheitsforscher automatisiert die Sicherheitsqualität auch von plattformübergreifenden Apps, die auf unterschiedlichen Betriebssystemen wie Android und iOS laufen und immer häufiger zum Einsatz kommen. Weil diese Apps Webtechnologien wie HTML und JavaScript verwenden, bergen sie zusätzliche Sicherheitsrisiken dieser Webtechnologien. Auf der IT-Sicherheitsmesse it-sa in Nürnberg stellen die Forscher vom 18. bis 20. Oktober die neuesten Testergebnisse am Stand 430 Halle 12 vor. 

Laut den jüngsten Tests des Fraunhofer SIT nutzen 81 Prozent der beliebtesten kostenlosen iOS-Apps für die Kommunikation immer noch unverschlüsselte HTTP-Verbindungen, um Inhalte wie HTML-Seiten und JavaScript-Code zu laden. Bei Android haben 86 Prozent der Top 2000 kostenlosen Apps Verschlüsselungsmängel. Solche Sicherheitslücken betreffen jedoch nicht nur News- oder Taschenlampen-Apps, sondern auch die für Unternehmen wesentlich kritischeren File-Viewer-Apps, wie beispielsweise PDF-Reader. Ganze 73 Prozent der analysierten File-Viewer-Apps und 55 Prozent der Android Organizer-Apps (iOS 28 Prozent) sind für den Unternehmenseinsatz ungeeignet, denn sie weisen gravierende Mängel auf, die Cyberkriminelle ausnutzen können. „So können Angreifer Passwörter oder PINs der Mitarbeiter ausspionieren und großen finanziellen Schaden anrichten“, sagt Dr. Jens Heider, Leiter des Testlabors Mobile Sicherheit am Fraunhofer SIT in Darmstadt. Da diese Apps häufig auch zur Ansicht von vertraulichen Dokumenten genutzt werden, wiegen diese Sicherheitslücken besonders schwer.

Auf der it-sa demonstrieren die Wissenschaftler des Fraunhofer SIT Angriffe auf hybride Apps: Die Darmstädter Forscher zeigen, dass sich ein fehlender Integritätsschutz auch bei seriösen Apps ausnutzen lässt, um die App durch eine Man-in-the-Middle-Attacke zu verändern. So konnten die Wissenschaftler bei verwundbaren Apps beispielsweise vorhandene App-Funktionen missbrauchen und damit unautorisiert auf alle Kalenderinhalte zugreifen, Termine ändern oder gar löschen.

Entwickler verzichten bewusst auf Sicherheit

„Auffällig ist, dass viele Entwickler immer noch bewusst auf eine hohe Sicherheitsqualität verzichten“, sagt Dr. Jens Heider. Apple will das ungeschützte Übertragen von Daten unterbinden und hat daher die App Transport Security (ATS) eingeführt: Apps dürfen damit nur noch über das HTTPS-Protokoll kommunizieren. Doch viele Entwickler deaktivieren die Funktion momentan noch. Gerade einmal neun Prozent der kostenlosen Top 2000 iOS Apps haben ATS ohne Ausnahmen aktiviert.

Für ihre Analysen nutzten die Fraunhofer-Wissenschaftler das Testwerkzeug Appicaptor, das automatisiert große Mengen an Apps auf ihre Sicherheit und die Einhaltung der Datenschutzbestimmungen des jeweiligen Unternehmens untersucht. Unternehmen können Appicaptor als Lösung nutzen, um schnell und einfach bestehende als auch in der Entwicklungsphase befindliche Apps zu bewerten. Das vom Fraunhofer SIT entwickelte Testwerkzeug überprüft jede App auf verschiedene Standardkriterien und generiert eine entsprechende Gesamteinschätzung des Risikopotenziales der App.

Der vollständige Bericht sollte unter https://www.sit.fraunhofer.de/de/securityindex2016/ kostenlos zum Download zur Verfügung stehen.

GRID LIST
Tb W190 H80 Crop Int C8f3ffdc3a280c786644ccb7e47b3b08

Fast jeder Zweite bildet sich online weiter

Smartphone-Apps, Online-Vorlesungen und Webinare sind für viele eine praktische…
Tb W190 H80 Crop Int 9c242ef5a5fad7dbf328a783a1d35090

IT-Manager kapitulieren vor Passwortsicherheit

Mit 73 Prozent knapp drei Viertel der europäischen IT-Führungskräfte haben keine…
Tb W190 H80 Crop Int 24d766b81b29f67867ac92ced7156db1

Banken müssen Mehrwertdienste bieten und neue Geschäftsmodelle entwickeln

CGI (TSX: GIB.A) (NYSE: GIB) stellt die Ergebnisse der globalen Bankkundenumfrage von…
Tb W190 H80 Crop Int 8de1ae23fa36a406ebdedce198e81408

Mit diesen Tipps schützen Nutzer ihr Handy im Winter

Es ist Winter. Smartphone-Nutzer haben ihr Gerät jedoch auch bei tiefen Temperaturen fast…
Tb W190 H80 Crop Int Cd0be40bdc3132e8a43ff79e9c10dc12

Jeder Fünfte will sich gegen Cyberkriminalität versichern

Phishing-Attacken, Schadsoftware oder Kreditkartenbetrug – Cyberkriminalität kann jeden…
Tb W190 H80 Crop Int D325500e0595642e9afa32fcc4da2986

Mitarbeiter kennen IT-Sicherheitsrichtlinien nicht

Lediglich ein Zehntel (12 Prozent) der Mitarbeiter ist sich über Regeln und Richtlinien…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security