Thought Leadership
Vor ein paar Jahren noch fühlten sich Hacker wie im Paradies: Aufgrund von dezentralisierten und offenen Distributions-Plattformen konnten Hacker Malware relativ einfach in unterschiedlichen App-Stores hochladen und darüber verbreiten. (Bildquelle: AVG Technologies)
Dieses Problem haben die großen Betreiber erkannt: Der Apple App-Store, Google Play und Microsoft Windows Apps haben die Verteilung der Apps zentralisiert und verhindern so, dass sie mobile Geräte von Millionen von Usern infizieren. Zusätzlichen haben sie strenge Sicherheitsvorschriften und Kontrollen implementiert.
Doch nicht nur die App-Store-Betreiber sondern auch die Hacker haben sich weiterentwickelt. Da der direkte Weg durch die strengen Sicherheitsvorschriften und Kontrollen der Stores versperrt ist, nutzen Hacker nun vermehrt bestehende Schwachstellen in nicht-bösartigen Apps. Nichtsahnende Anwender laden dann die als sicher eingestuften Apps aus den Stores auf ihre privaten oder beruflich genutzten Endgeräte.
Bild: Die zehn größten Risiken bei mobilen Endgeräten 2014 (Quelle: owasp)
Drei Arten von Schwachstellen machen es Betrügern besonders leicht, unbefugt auf Daten zuzugreifen:
- Die lokale Datenspeicherung: Mobile Endgeräte speichern anfallende Daten häufig lokal auf den Endgeräten, beispielsweise in Form von Log-Files. So können sie das Nutzerverhalten innerhalb einer App dokumentieren oder Daten und Reports cachen. Dies kann die App-Leistung erhöhen und deren Nutzung vereinfachen. Doch das lokale Speichern unverschlüsselter, privater Daten kann zur Sicherheitslücke werden, denn andere Applikationen können auf diese zugreifen und Daten auslesen. Auch Daten, die als verborgene Überbleibsel längst gelöschter Apps auf dem Gerät verbleiben, können so noch nach Jahren ausgelesen werden. Deswegen ist es wichtig, beim Löschen von Apps darauf zu achten, auch lokal gespeicherte Dateien wie Chroniken oder Caches zu entfernen.
- App-Recycling: Die Wiederverwertung bereits erschienener App-Software-Komponenten entsteht aufgrund des ständigen Zeitdrucks unter dem App-Entwickler stehen, ihre Produkte möglichst schnell auf den Markt zu bringen. Daher verwenden sie App-Komponenten von Drittanbietern, so genannte Software Development Kits (SDKs). Die Toolkits werden jedoch aus Zeit- und Budgetgründen oft ohne Update oder Schwachstellen-Prüfung übernommen, sodass diese auch in neuen Apps bestehen bleiben, wie zum Beispiel bei Android WebView oder Dropbox Android SDK.
- Datenübermittlung: Fast alle mobilen Apps empfangen und übermitteln Daten, etwa um Updates einzuspielen oder Lizenzen zu prüfen. Die Gegenstelle sind im Netz befindliche Server und andere Endgeräte. Dabei kann es sein, dass die Daten beim Verlassen des mobilen Endgeräts nicht ausreichend verschlüsselt sind. Dies betrifft auch viele Unternehmen, die keinen Wert auf eine sichere Ende-zu-Ende Verschlüsselung legen oder zulassen, dass private Geräte ohne passende Sicherheitsstrategie im Unternehmen genutzt werden. So können Hacker nicht nur an persönliche Daten der App Nutzer wie etwa Passwörter oder Kreditkartennummern gelangen, sie können auch den Datenverkehr abfangen und nicht an den Zielserver, sondern den eigenen umleiten. Dies ist besonders für Unternehmen ein großes Risiko, wenn geschäftskritische Daten abgefangen und weitergeleitet werden.
Gemeinsam handeln: Verbesserte Kommunikation zwischen Entwickler und App-Stores
Mit eine ganzen Reihe von Maßnahmen können App-Entwickler die Verbreitung von Schwachstellen vermeiden. Wichtig ist etwa, Software Development Kits als Drittanbieter-Komponenten genau zu überprüfen und „Secure Code“ zu nutzen. Auch sollten Sicherheitstests im generellen Qualitätssicherungsprozess implementiert werden. Die Verwendung automatischer Scans hilft ebenfalls bei der frühzeitigen Entdeckung und Behebung von Sicherheitslücken. Entwickler sollten zudem darauf achten, unnötige Funktionen im Code zu entfernen und die Verbreitung von Apps, die nicht mehr mit Updates versorgt werden, zu stoppen.
Auch die Stores selbst müssen weitere Maßnahmen ergreifen, um die Verbreitung betroffener Applikationen zu unterbinden. Etwa durch automatische Security Scanner, die einige Stores bereits verwenden. Mit deren Hilfe lassen sich anfällige Applikationen aufdecken. Zudem sollten die Schwachstellen der SDKs behoben werden – unabhängig davon, ob die jeweils ursprüngliche Version noch unterstützt wird oder nicht. Denn ihre Komponenten werden noch in vielen anderen Applikationen genutzt. Nur so kann der Teufelskreis der sich durch SDKs weiterverbreitenden Schwachstellen gestoppt werden.
Zur Minimierung von Schwachstellen ist jedoch vor allem eine verbesserte Kommunikation zwischen den App-Stores und den App-Entwickler wichtig. So sollten Entwickler zum Beispiel umgehend informiert werden, wenn Schwachstellen in ihren Apps entdeckt wurden, damit sie schnell handeln können. Denn nur gemeinsam lassen sich die Schwachstellen langfristig schließen.
Tony Anscombe, Senior Security Evangelist bei AVG Technologies
Dieser Veranstaltung könnte Sie ebenfalls interessieren:
Security Eye 2015
Cybercrime-Risiken verstehen und minimieren
Wie laufen Cyber-Angriffe eigentlich ab? Wie lässt sich das Risiko für das eigene Unternehmen auf ein Minimum senken? Die Antworten erhalten Sie in Fallstudien, Live-Vorführungen und Best Practices auf der Security Eye am 22. September 2015 im Grand Hotel Wien. Kostenlose Teilnahme für Endanwender.
Agenda und Anmeldung: www.securityeye.de
