Anzeige

Cyber Security

Synopsys hat einen Bericht unter dem Titel Peril in a Pandemic: The State of Mobile Application Security Testing veröffentlicht. Der Bericht des Synopsys Cybersecurity Research Center (CyRC) untersucht die Ergebnisse einer Studie, bei der 3.335 der beliebtesten mobilen Android-Apps im Google Play Store im ersten Quartal 2021 untersucht wurden.

Dabei hat sich herausgestellt, dass die Mehrheit der Apps (63 %) Open-Source-Komponenten mit bekannten Sicherheitslücken enthält. Zudem weist der Bericht auf weitere allgegenwärtige Sicherheitsprobleme hin, darunter sensible Daten, die offen im Anwendungscode zugänglich sind, sowie die Verwendung zu weit vergebener Berechtigungen bei mobilen Endgeräten.

Die Untersuchung, die mit der Black Duck Binary Analysis von Synopsys durchgeführt wurde, konzentriert sich auf 18 beliebte Kategorien für mobile Apps, von denen viele während der Pandemie ein rasantes Wachstum verzeichneten, darunter Kategorien wie Business, Bildung sowie Gesundheit und Fitness. Die Apps zählen zu den am häufigsten heruntergeladenen beziehungsweisen den umsatzstärksten Apps im Google Play Store. Während die Ergebnisse der Sicherheitsanalyse je nach Kategorie variieren, enthielten wenigstens ein Drittel der Apps in sämtlichen der 18 Kategorien bekannte Sicherheitsschwachstellen.

„Wie jede andere Software sind auch mobile Apps nicht immun gegen Sicherheitslücken und Schwachstellen, die Verbraucher und Unternehmen Risiken aussetzen können“, so Jason Schmitt, General Manager der Synopsys Software Integrity Group. „Heutzutage ist die Sicherheit mobiler Apps besonders wichtig. Gerade, wenn man bedenkt, wie die Pandemie viele von uns – darunter Kinder, Schüler und große Teile der berufstätigen Bevölkerung – dazu gezwungen hat, sich an einen zunehmend von mobilen Anwendungen abhängigen und remote organisierten Lebensstil anzupassen. Vor dem Hintergrund dieser Veränderungen unterstreicht der Bericht, dass es dringend notwendig ist für das Ökosystem der mobilen Apps, gemeinsam die Messlatte für die Entwicklung und den Betrieb sicherer Software höher zu legen.“

Open-Source Schwachstellen in mobilen Apps sind allgegenwärtig.

Von den 3.335 analysierten Apps enthielten 63 % Open-Source-Komponenten mit mindestens einer bekannten Sicherheitslücke. Besonders anfällige Apps enthielten durchschnittlich 39 Schwachstellen. Insgesamt identifizierte das CyRC mehr als 3.000 eindeutige Schwachstellen, die mehr als 82.000 Mal auftraten. 

Bekannte Sicherheitslücken sind ein lösbares Problem.

Während die Anzahl der in dieser Untersuchung aufgedeckten Schwachstellen erschreckend ist, ist es vielleicht noch überraschender, dass für 94 % der gefundenen Schwachstellen öffentlich dokumentierte Lösungen zur Behebung existieren. Das bedeutet: es existieren Sicherheits-Updates oder neuere, sicherere Versionen der besagten Open-Source-Komponente. Darüber hinaus wurden 73 % der entdeckten Schwachstellen erstmals vor mehr als zwei Jahren öffentlich bekannt gemacht. Das wiederum deutet darauf hin, dass App-Entwickler die Sicherheit der Komponenten, die sie für die Erstellung ihrer Apps verwenden, einfach nicht ausreichend in Betracht ziehen.

Gründliche Analyse von Schwachstellen mit hohem Risiko.

Eine genauere Analyse ergab, dass fast die Hälfte (43 %) der Schwachstellen seitens des CyRC als hochriskant eingestuft werden, weil sie entweder bereits aktiv ausgenutzt wurden oder mit dokumentierten Proof-of-Concept (PoC) Exploits (Nachweis von Schwachstellen) in Zusammenhang stehen. Knapp fünf Prozent der Schwachstellen sind bereits ausgenutzt oder mit PoC nachgewiesen worden, ohne dass dafür eine Lösung zur Behebung zur Verfügung steht. Ein Prozent der Schwachstellen wurden als RCE-Schwachstellen (Remote Code Execution) eingestuft, was von vielen als die schwerwiegendste Klasse von Schwachstellen angesehen wird. 0,64 % sind als RCE-Schwachstellen klassifiziert und stehen in Verbindung mit einer aktiven Ausnutzung beziehungsweise einem PoC-Nachweis.

Informationslecks. Wenn Entwickler unbeabsichtigt sensible oder persönliche Daten im Quellcode oder in den Konfigurationsdateien einer Anwendung zugänglich machen, können diese potenziell von böswilligen Angreifern für nachfolgende Angriffe genutzt werden. Das CyRC fand zehntausende Fälle von Informationslecks, bei denen potenziell sensible Daten preisgegeben wurden, von privaten Schlüsseln und Token bis hin zu E-Mail und IP-Adressen. 

Überzogene Vergabe von Berechtigungen für mobile Geräte.

Mobile Apps benötigen oft Zugriff auf bestimmte Funktionen oder Daten eines mobilen Geräts, um effektiv funktionieren zu können. Einige Apps verlangen jedoch leichtfertig oder auch ohne Einwilligung durch den Nutzer weit mehr Zugriff als nötig. Die von CyRC analysierten mobilen Apps erfordern durchschnittlich 18 Geräteberechtigungen. Darunter sind durchschnittlich 4,5 sensible Berechtigungen, also solche, die den meisten Zugriff auf persönliche Daten erfordern, und durchschnittlich 3 Berechtigungen, die Google als „nicht für die Nutzung durch Dritte bestimmt“ einstuft. Eine App mit über 1 Million Downloads benötigte 11 Berechtigungen, die Google als „Schutzstufe: Gefährlich“ einstuft. Eine andere App mit über 5 Millionen Downloads benötigte insgesamt 56 Berechtigungen, von denen Google 31 als „Schutzstufe: Gefährlich“ oder als Signaturberechtigungen einstuft, die nicht von Drittanbieter-Apps verwendet werden dürfen.

Vergleich der App-Kategorien.

Mindestens 80 % der Apps in sechs der 18 Kategorien enthielten bekannte Sicherheitslücken, darunter Spiele, Banking-, Finanzplanungs- und Zahlungs-Apps. Die Kategorien Lifestyle und Gesundheit & Fitness wiesen mit 36 % den geringsten Prozentsatz an anfälligen Apps auf. Die Kategorien Banking, Bezahlung und Finanzplanung rangierten auch unter den ersten drei Kategorien mit der höchsten durchschnittlichen Anzahl an erforderlichen Berechtigungen für mobile Geräte. Sie liegen damit deutlich über dem Gesamtdurchschnitt von 18. Spiele, Anwendungen für Lehrer, Bildungs- und Lifestyle-Apps erforderten die geringste durchschnittliche Anzahl an Berechtigungen.

www.synopsys.com


Artikel zu diesem Thema

Hacker Webcam
Mär 23, 2021

Kritische Sicherheitslücken in Home Schooling Software

Die Sicherheitsforscher von McAfee haben vier kritische Sicherheitslücken in Netop Vision…
Cyber Security
Mär 12, 2021

Das sind die häufigsten IT-Schwachstellen

Während sich viele Unternehmen 2020 digital neu erfanden, griffen Cyberkriminelle…
Nov 30, 2020

Mobile Apps - Vom Nischenprodukt zum entscheidenden Wettbewerbsfaktor

Mobile Apps haben sich zu einem wichtigen Wettbewerbsfaktor entwickelt. Getriggert durch…

Weitere Artikel

Asset Management

Wie Sicherheitsteams nicht sichtbare Assets aufdecken können

Fünf Fragen und Antworten wie Sicherheitsteams nicht sichtbare Assets aufdecken können, beantwortet von Todd Carroll, CISO/VP CyberOperations bei CybelAngel.
Microsoft Exchange

Stellen Sie kritische Systeme niemals ungeschützt ins Internet!

Die Angriffswelle auf Microsoft Exchange Server ist der zweite Security Super-GAU nach dem SolarWinds-Hack. Zehntausende Systeme in Deutschland sind davon betroffen und wurden vermutlich schon kompromittiert. Ein Kommentar von Wolfgang Kurz, CEO bei indevis.
Microsoft Exchange

Microsoft Exchange - Neue Sicherheitslücken entdeckt und geschlossen

Am Dienstag - Patch Tuesday gab es wieder einige kritische Updates für Microsoft Exchange. Ebenso wie bei Hafnium raten Experten dringend zur Installation der Patches. Anders als bei Hafnium kam die Warnung jedoch von der amerikanischen NSA.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.