VERANSTALTUNGEN

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

Virus Gesicht 576910531 500

Hybride Anwendungen haben in den letzten Jahren stark an Popularität gewonnen. Das liegt nicht zuletzt an ihrer Vielseitigkeit. Denn da der Basiscode bei hybriden Apps Plattform-übergreifend eingesetzt werden kann, sparen sich Entwickler und Anbieter wertvolle Zeit und schonen so ihre finanziellen Ressourcen. Doch auch hier gilt: Wo Licht ist, ist auch Schatten. 

Aus Security-Sicht weisen hybride Anwendungen nämlich einige Schwachstellen und Sicherheitslücken auf, die Cyberangriffe und Manipulationen begünstigen. Effektive App-Schutz-Maßnahmen, die diese Lücken sorgfältig schließen, sind bei Hybrid-Apps deshalb umso wichtiger.

Hybride Anwendungen kombinieren die Vorteile von nativen d.h. für spezielle Betriebssysteme programmierten Apps und Web-Anwendungen. Obwohl der App-Code über webseitenbasierte Technologien wie HTML5, CSS oder JavaScript entwickelt wird, laufen die Apps in einem Webview-Container und sind als native Anwendungen verpackt. Dies ermöglicht ihnen, auf native APIs und Funktionen des jeweiligen Betriebssystems zuzugreifen. Auf diese Weise können Anbieter die Märkte für Android, Windows und Apple gleichzeitig bedienen und dabei Zeit und Ressourcen sparen. Zudem erleichtert es den Einstieg in neue Märkte wie etwa den Smart TV-Sektor, wo aufgrund der stark unterschiedlichen Architektur die Portierung einer mobilen App meist mit erheblichem Aufwand verbunden ist. Und auch in der Industrie für Mobile Games und digitale Medienanwendungen stehen Hybrid-Apps hoch im Kurs.

Risiko „Man-in-the-Middle-Angriff“ und Datendiebstahl

Bei all den Vorteilen darf man aber auch die negativen Seiten hybrider Anwendungen nicht aus den Augen lassen, denn im Vergleich zu herkömmlichen mobilen Anwendungen sind sie deutlich anfälliger für Cyberangriffe und Manipulationen durch Hacker. Dies liegt vor allem daran, dass JavaScript und HTML typischerweise weniger Geschick beim Reverse Engineering und der Modifikation von Codes erfordern. Und da die App in einem Webbrowser umgeben von allen Browser-Fähigkeiten läuft, ist es für Angreifer auch deutlich einfacher, ferngesteuerte Man-in-the-Middle-Angriffe durchzuführen, bei denen Daten während der Übertragung abgefangen werden. Dies öffnet Angreifern die Türe zu sensiblen von der App gespeicherten oder gesendeten Informationen, wie etwa vertrauliche Kreditkarten-, Bank- und Patientendaten oder aber biometrische Daten zur Authentifizierung. Sobald eine App geknackt ist, kann ein Angreifer sie letztlich auch als Multiplikator für gefährliche Malware verwenden, um z.B. andere Apps auf dem Gerät des Opfers oder sogar das Unternehmen hinter der App anzugreifen.

Hybrid Apps

Sicherheit für hybride Apps

Für diese Sicherheitsprobleme und Risiken gibt es jedoch eine Lösung. Wichtige Stichworte sind hier Obfuscation (Verschleierung) und Runtime-Protection, d.h. zwei App Protection-Technologien, die bereits nach Ende des Entwicklungsprozesses in den JavaScript- oder HTML-Code eingefügt werden und die App mit der nötigen Sicherheit ausstatten. Erstere Technik sorgt dafür, dass ein Softwareprogramm in einen Code umgewandelt wird, welcher schwer zu zerlegen und zu verstehen ist, jedoch die gleiche Funktionalität wie das Original bietet. Die Software bleibt so voll funktionsfähig, ist aber gleichzeitig extrem resistent gegen Reverse-Engineering, da der Code für einen nicht autorisierten Benutzer verschleiert und deshalb praktisch unbrauchbar ist.

Beim Runtime-Schutz geht es wiederum darum, der App die Fähigkeit zu verleihen, selbst zu erkennen, ob sie manipuliert wurde oder angegriffen werden könnte, etwa durch das Bilden von Prüfsummen bei jedem Hochfahren. Auch kann die App auf diese Weise gefährliche Sandbox-Umgebungen von ungefährlichen Umgebungen, d.h. „normalen“ Mobilgeräten, unterscheiden.

Verbraucher müssen Vorsicht walten lassen

So unsicher hybride Applikationen auch sind, sie stellen bei Weitem nicht das einzige Risiko in unserer App-zentrierten Welt dar. Tatsache ist, dass grundsätzlich alle Applikationen und vor allem mobile Apps, die sichere und geschützte Umgebungen verlassen, anfällig für Cyberangriffe sind. Das größte Risiko für einen Verbraucher besteht letztlich darin, dass ein Hacker die Kontrolle über sein Gerät und alles, was darauf gespeichert ist, erhält. In Zeiten, in denen das Mobilgerät auch in äußerst sensiblen und kritischen Bereichen, wie etwa dem Banking, eingesetzt wird, sind Identitätsdiebstahl und Finanzbetrug letztlich immer nur einen Augenschlag entfernt. Bei der Infizierung mit gefährlicher Malware spielen dabei in zunehmendem Maße auch gefälschte Versionen beliebter Apps eine wichtige Rolle. Angreifer stehlen dabei Code aus einer legitimen App und erstellen damit einen überzeugenden Klon, der wie gewohnt läuft und das Gerät des Benutzers infiziert. Da es diese Apps immer öfter auch in offizielle App-Stores schaffen, ist bei jedem Download besondere Vorsicht geboten – egal ob native oder hybride App!

Autor: Mirko Brandner, Technical Manager, Arxan

   

GRID LIST
Smartphone am Strand

Deutsche gehen im Urlaub unnötige Cyberrisiken ein

Fast 50 Prozent der Deutschen setzt im Urlaub in puncto Internetverbindung auf…
Adware

Android-Geräte mit vorinstallierter Schadsoftware ausgeliefert

Das Avast Threat Lab hat vorinstallierte Adware, also unerwünschte Apps, die den Nutzer…
Tb W190 H80 Crop Int 610cb99ef38bc6235588ec38ff894c78

Privatsphäre auf dem Handy - ist das heute noch möglich?

95,5 Prozent – so groß ist die Reichweite des Mobilfunks in Deutschland. Laut…
Tb W190 H80 Crop Int 547461fef9c006206fc7a53efe55f5d3

ZooPark: Android Cyberspionage verbreitet sich

Kaspersky Lab hat eine hochkomplexe Cyberspionage-Kampagne entdeckt, die seit mindestens…
Tb W190 H80 Crop Int 9545f4619b643c50d0bb0d4b57c05b77

Neue WAF von F5 schützt auch Multi-Cloud-App

F5 Networks (NASDAQ: FFIV) bietet ab sofort die neue Advanced Web Application Firewall…
mobile Security

Sicherheitsrisiken von Apps und Daten auf mobilen Endgeräten minimieren

Mit dem herkömmlichen Schutz der mobilen Endgeräte von Mitarbeitern ist es nicht getan.…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security