Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

geprüfte Apps Vor ein paar Jahren noch fühlten sich Hacker wie im Paradies: Aufgrund von dezentralisierten und offenen Distributions-Plattformen konnten Hacker Malware relativ einfach in unterschiedlichen App-Stores hochladen und darüber verbreiten. (Bildquelle: AVG Technologies)

Dieses Problem haben die großen Betreiber erkannt: Der Apple App-Store, Google Play und Microsoft Windows Apps haben die Verteilung der Apps zentralisiert und verhindern so, dass sie mobile Geräte von Millionen von Usern infizieren. Zusätzlichen haben sie strenge Sicherheitsvorschriften und Kontrollen implementiert.

Doch nicht nur die App-Store-Betreiber sondern auch die Hacker haben sich weiterentwickelt. Da der direkte Weg durch die strengen Sicherheitsvorschriften und Kontrollen der Stores versperrt ist, nutzen Hacker nun vermehrt bestehende Schwachstellen in nicht-bösartigen Apps. Nichtsahnende Anwender laden dann die als sicher eingestuften Apps aus den Stores auf ihre privaten oder beruflich genutzten Endgeräte.

Die zehn größten Risiken bei mobilen Endgeräten 2014 (Quelle: owasp)

Bild: Die zehn größten Risiken bei mobilen Endgeräten 2014 (Quelle: owasp)

Drei Arten von Schwachstellen machen es Betrügern besonders leicht, unbefugt auf Daten zuzugreifen:

  1. Die lokale Datenspeicherung: Mobile Endgeräte speichern anfallende Daten häufig lokal auf den Endgeräten, beispielsweise in Form von Log-Files. So können sie das Nutzerverhalten innerhalb einer App dokumentieren oder Daten und Reports cachen. Dies kann die App-Leistung erhöhen und deren Nutzung vereinfachen. Doch das lokale Speichern unverschlüsselter, privater Daten kann zur Sicherheitslücke werden, denn andere Applikationen können auf diese zugreifen und Daten auslesen. Auch Daten, die als verborgene Überbleibsel längst gelöschter Apps auf dem Gerät verbleiben, können so noch nach Jahren ausgelesen werden. Deswegen ist es wichtig, beim Löschen von Apps darauf zu achten, auch lokal gespeicherte Dateien wie Chroniken oder Caches zu entfernen.
  2. App-Recycling: Die Wiederverwertung bereits erschienener App-Software-Komponenten entsteht aufgrund des ständigen Zeitdrucks unter dem App-Entwickler stehen, ihre Produkte möglichst schnell auf den Markt zu bringen. Daher verwenden sie App-Komponenten von Drittanbietern, so genannte Software Development Kits (SDKs). Die Toolkits werden jedoch aus Zeit- und Budgetgründen oft ohne Update oder Schwachstellen-Prüfung übernommen, sodass diese auch in neuen Apps bestehen bleiben, wie zum Beispiel bei Android WebView oder Dropbox Android SDK.
  3. Datenübermittlung: Fast alle mobilen Apps empfangen und übermitteln Daten, etwa um Updates einzuspielen oder Lizenzen zu prüfen. Die Gegenstelle sind im Netz befindliche Server und andere Endgeräte. Dabei kann es sein, dass die Daten beim Verlassen des mobilen Endgeräts nicht ausreichend verschlüsselt sind. Dies betrifft auch viele Unternehmen, die keinen Wert auf eine sichere Ende-zu-Ende Verschlüsselung legen oder zulassen, dass private Geräte ohne passende Sicherheitsstrategie im Unternehmen genutzt werden. So können Hacker nicht nur an persönliche Daten der App Nutzer wie etwa Passwörter oder Kreditkartennummern gelangen, sie können auch den Datenverkehr abfangen und nicht an den Zielserver, sondern den eigenen umleiten. Dies ist besonders für Unternehmen ein großes Risiko, wenn geschäftskritische Daten abgefangen und weitergeleitet werden. 

Gemeinsam handeln: Verbesserte Kommunikation zwischen Entwickler und App-Stores

Mit eine ganzen Reihe von Maßnahmen können App-Entwickler die Verbreitung von Schwachstellen vermeiden. Wichtig ist etwa, Software Development Kits als Drittanbieter-Komponenten genau zu überprüfen und „Secure Code“ zu nutzen. Auch sollten Sicherheitstests im generellen Qualitätssicherungsprozess implementiert werden. Die Verwendung automatischer Scans hilft ebenfalls bei der frühzeitigen Entdeckung und Behebung von Sicherheitslücken. Entwickler sollten zudem darauf achten, unnötige Funktionen im Code zu entfernen und die Verbreitung von Apps, die nicht mehr mit Updates versorgt werden, zu stoppen.

Auch die Stores selbst müssen weitere Maßnahmen ergreifen, um die Verbreitung betroffener Applikationen zu unterbinden. Etwa durch automatische Security Scanner, die einige Stores bereits verwenden. Mit deren Hilfe lassen sich anfällige Applikationen aufdecken. Zudem sollten die Schwachstellen der SDKs behoben werden – unabhängig davon, ob die jeweils ursprüngliche Version noch unterstützt wird oder nicht. Denn ihre Komponenten werden noch in vielen anderen Applikationen genutzt. Nur so kann der Teufelskreis der sich durch SDKs weiterverbreitenden Schwachstellen gestoppt werden.

Zur Minimierung von Schwachstellen ist jedoch vor allem eine verbesserte Kommunikation zwischen den App-Stores und den App-Entwickler wichtig. So sollten Entwickler zum Beispiel umgehend informiert werden, wenn Schwachstellen in ihren Apps entdeckt wurden, damit sie schnell handeln können. Denn nur gemeinsam lassen sich die Schwachstellen langfristig schließen.

Tony Anscombe
Tony Anscombe, Senior Security Evangelist bei AVG Technologies

Dieser Veranstaltung könnte Sie ebenfalls interessieren:

Security Eye 2015
Cybercrime-Risiken verstehen und minimieren

Wie laufen Cyber-Angriffe eigentlich ab? Wie lässt sich das Risiko für das eigene Unternehmen auf ein Minimum senken? Die Antworten erhalten Sie in Fallstudien, Live-Vorführungen und Best Practices auf der Security Eye am 22. September 2015 im Grand Hotel Wien. Kostenlose Teilnahme für Endanwender.

Agenda und Anmeldung: www.securityeye.de




 

 
GRID LIST
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Hacker sollen vor Quantentechnologie kapitulieren

Netzwerke, an denen sich Hacker todsicher die Zähne ausbeißen, sind nach einer neuen…
Tb W190 H80 Crop Int 33e73b25261b4f94d72c7793df32609a

Android-Trojaner stiehlt vertrauliche Daten von WhatsApp und Co.

Doctor Web entdeckte im Dezember einen Android-Trojaner, der Nachrichten und Bilder…
Tb W190 H80 Crop Int 8534c86a60d191365cb50a48df651c55

Hackerangriff auf Behörde, um Kryptogeld zu gewinnen

Wie jetzt bekannt wurde, ist das Landesamt für Besoldung und Versorgung Baden-Württemberg…
Tb W190 H80 Crop Int 294d4a259098ca5503fcaff9c2313cc7

Gute IT-Security - Vorsätze für das neue Jahr

Das neue Jahr ist wenige Tage alt und trotzdem haben Cyberkriminelle bereits tausende…
Tb W190 H80 Crop Int 412b12439a8b3e2b4660f00a51585909

IT-Security im Finanzbereich – diese drei Themen bestimmen 2018

Ein turbulentes Jahr liegt hinter der IT-Finanzbranche. Hackerangriffe wurden…
Vogel fängt Wurm

Die Rückkehr des Wurms

Vectra erwartet vermehrt Angriffe mit Würmern, Datendiebstahl in der Cloud und einen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security