Erhebliche Sicherheitslücken in beliebten mobilen Apps

Synopsys hat einen Bericht unter dem Titel Peril in a Pandemic: The State of Mobile Application Security Testing veröffentlicht. Der Bericht des Synopsys Cybersecurity Research Center (CyRC) untersucht die Ergebnisse einer Studie, bei der 3.335 der beliebtesten mobilen Android-Apps im Google Play Store im ersten Quartal 2021 untersucht wurden.

Dabei hat sich herausgestellt, dass die Mehrheit der Apps (63 %) Open-Source-Komponenten mit bekannten Sicherheitslücken enthält. Zudem weist der Bericht auf weitere allgegenwärtige Sicherheitsprobleme hin, darunter sensible Daten, die offen im Anwendungscode zugänglich sind, sowie die Verwendung zu weit vergebener Berechtigungen bei mobilen Endgeräten.

Anzeige

Die Untersuchung, die mit der Black Duck Binary Analysis von Synopsys durchgeführt wurde, konzentriert sich auf 18 beliebte Kategorien für mobile Apps, von denen viele während der Pandemie ein rasantes Wachstum verzeichneten, darunter Kategorien wie Business, Bildung sowie Gesundheit und Fitness. Die Apps zählen zu den am häufigsten heruntergeladenen beziehungsweisen den umsatzstärksten Apps im Google Play Store. Während die Ergebnisse der Sicherheitsanalyse je nach Kategorie variieren, enthielten wenigstens ein Drittel der Apps in sämtlichen der 18 Kategorien bekannte Sicherheitsschwachstellen.

„Wie jede andere Software sind auch mobile Apps nicht immun gegen Sicherheitslücken und Schwachstellen, die Verbraucher und Unternehmen Risiken aussetzen können“, so Jason Schmitt, General Manager der Synopsys Software Integrity Group. „Heutzutage ist die Sicherheit mobiler Apps besonders wichtig. Gerade, wenn man bedenkt, wie die Pandemie viele von uns – darunter Kinder, Schüler und große Teile der berufstätigen Bevölkerung – dazu gezwungen hat, sich an einen zunehmend von mobilen Anwendungen abhängigen und remote organisierten Lebensstil anzupassen. Vor dem Hintergrund dieser Veränderungen unterstreicht der Bericht, dass es dringend notwendig ist für das Ökosystem der mobilen Apps, gemeinsam die Messlatte für die Entwicklung und den Betrieb sicherer Software höher zu legen.“

Open-Source Schwachstellen in mobilen Apps sind allgegenwärtig.

Von den 3.335 analysierten Apps enthielten 63 % Open-Source-Komponenten mit mindestens einer bekannten Sicherheitslücke. Besonders anfällige Apps enthielten durchschnittlich 39 Schwachstellen. Insgesamt identifizierte das CyRC mehr als 3.000 eindeutige Schwachstellen, die mehr als 82.000 Mal auftraten. 

Bekannte Sicherheitslücken sind ein lösbares Problem.

Während die Anzahl der in dieser Untersuchung aufgedeckten Schwachstellen erschreckend ist, ist es vielleicht noch überraschender, dass für 94 % der gefundenen Schwachstellen öffentlich dokumentierte Lösungen zur Behebung existieren. Das bedeutet: es existieren Sicherheits-Updates oder neuere, sicherere Versionen der besagten Open-Source-Komponente. Darüber hinaus wurden 73 % der entdeckten Schwachstellen erstmals vor mehr als zwei Jahren öffentlich bekannt gemacht. Das wiederum deutet darauf hin, dass App-Entwickler die Sicherheit der Komponenten, die sie für die Erstellung ihrer Apps verwenden, einfach nicht ausreichend in Betracht ziehen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Gründliche Analyse von Schwachstellen mit hohem Risiko.

Eine genauere Analyse ergab, dass fast die Hälfte (43 %) der Schwachstellen seitens des CyRC als hochriskant eingestuft werden, weil sie entweder bereits aktiv ausgenutzt wurden oder mit dokumentierten Proof-of-Concept (PoC) Exploits (Nachweis von Schwachstellen) in Zusammenhang stehen. Knapp fünf Prozent der Schwachstellen sind bereits ausgenutzt oder mit PoC nachgewiesen worden, ohne dass dafür eine Lösung zur Behebung zur Verfügung steht. Ein Prozent der Schwachstellen wurden als RCE-Schwachstellen (Remote Code Execution) eingestuft, was von vielen als die schwerwiegendste Klasse von Schwachstellen angesehen wird. 0,64 % sind als RCE-Schwachstellen klassifiziert und stehen in Verbindung mit einer aktiven Ausnutzung beziehungsweise einem PoC-Nachweis.

Informationslecks. Wenn Entwickler unbeabsichtigt sensible oder persönliche Daten im Quellcode oder in den Konfigurationsdateien einer Anwendung zugänglich machen, können diese potenziell von böswilligen Angreifern für nachfolgende Angriffe genutzt werden. Das CyRC fand zehntausende Fälle von Informationslecks, bei denen potenziell sensible Daten preisgegeben wurden, von privaten Schlüsseln und Token bis hin zu E-Mail und IP-Adressen. 

Überzogene Vergabe von Berechtigungen für mobile Geräte.

Mobile Apps benötigen oft Zugriff auf bestimmte Funktionen oder Daten eines mobilen Geräts, um effektiv funktionieren zu können. Einige Apps verlangen jedoch leichtfertig oder auch ohne Einwilligung durch den Nutzer weit mehr Zugriff als nötig. Die von CyRC analysierten mobilen Apps erfordern durchschnittlich 18 Geräteberechtigungen. Darunter sind durchschnittlich 4,5 sensible Berechtigungen, also solche, die den meisten Zugriff auf persönliche Daten erfordern, und durchschnittlich 3 Berechtigungen, die Google als „nicht für die Nutzung durch Dritte bestimmt“ einstuft. Eine App mit über 1 Million Downloads benötigte 11 Berechtigungen, die Google als „Schutzstufe: Gefährlich“ einstuft. Eine andere App mit über 5 Millionen Downloads benötigte insgesamt 56 Berechtigungen, von denen Google 31 als „Schutzstufe: Gefährlich“ oder als Signaturberechtigungen einstuft, die nicht von Drittanbieter-Apps verwendet werden dürfen.

Vergleich der App-Kategorien.

Mindestens 80 % der Apps in sechs der 18 Kategorien enthielten bekannte Sicherheitslücken, darunter Spiele, Banking-, Finanzplanungs- und Zahlungs-Apps. Die Kategorien Lifestyle und Gesundheit & Fitness wiesen mit 36 % den geringsten Prozentsatz an anfälligen Apps auf. Die Kategorien Banking, Bezahlung und Finanzplanung rangierten auch unter den ersten drei Kategorien mit der höchsten durchschnittlichen Anzahl an erforderlichen Berechtigungen für mobile Geräte. Sie liegen damit deutlich über dem Gesamtdurchschnitt von 18. Spiele, Anwendungen für Lehrer, Bildungs- und Lifestyle-Apps erforderten die geringste durchschnittliche Anzahl an Berechtigungen.

www.synopsys.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.