Virus Gesicht 576910531 500

Hybride Anwendungen haben in den letzten Jahren stark an Popularität gewonnen. Das liegt nicht zuletzt an ihrer Vielseitigkeit. Denn da der Basiscode bei hybriden Apps Plattform-übergreifend eingesetzt werden kann, sparen sich Entwickler und Anbieter wertvolle Zeit und schonen so ihre finanziellen Ressourcen. Doch auch hier gilt: Wo Licht ist, ist auch Schatten. 

Aus Security-Sicht weisen hybride Anwendungen nämlich einige Schwachstellen und Sicherheitslücken auf, die Cyberangriffe und Manipulationen begünstigen. Effektive App-Schutz-Maßnahmen, die diese Lücken sorgfältig schließen, sind bei Hybrid-Apps deshalb umso wichtiger.

Hybride Anwendungen kombinieren die Vorteile von nativen d.h. für spezielle Betriebssysteme programmierten Apps und Web-Anwendungen. Obwohl der App-Code über webseitenbasierte Technologien wie HTML5, CSS oder JavaScript entwickelt wird, laufen die Apps in einem Webview-Container und sind als native Anwendungen verpackt. Dies ermöglicht ihnen, auf native APIs und Funktionen des jeweiligen Betriebssystems zuzugreifen. Auf diese Weise können Anbieter die Märkte für Android, Windows und Apple gleichzeitig bedienen und dabei Zeit und Ressourcen sparen. Zudem erleichtert es den Einstieg in neue Märkte wie etwa den Smart TV-Sektor, wo aufgrund der stark unterschiedlichen Architektur die Portierung einer mobilen App meist mit erheblichem Aufwand verbunden ist. Und auch in der Industrie für Mobile Games und digitale Medienanwendungen stehen Hybrid-Apps hoch im Kurs.

Risiko „Man-in-the-Middle-Angriff“ und Datendiebstahl

Bei all den Vorteilen darf man aber auch die negativen Seiten hybrider Anwendungen nicht aus den Augen lassen, denn im Vergleich zu herkömmlichen mobilen Anwendungen sind sie deutlich anfälliger für Cyberangriffe und Manipulationen durch Hacker. Dies liegt vor allem daran, dass JavaScript und HTML typischerweise weniger Geschick beim Reverse Engineering und der Modifikation von Codes erfordern. Und da die App in einem Webbrowser umgeben von allen Browser-Fähigkeiten läuft, ist es für Angreifer auch deutlich einfacher, ferngesteuerte Man-in-the-Middle-Angriffe durchzuführen, bei denen Daten während der Übertragung abgefangen werden. Dies öffnet Angreifern die Türe zu sensiblen von der App gespeicherten oder gesendeten Informationen, wie etwa vertrauliche Kreditkarten-, Bank- und Patientendaten oder aber biometrische Daten zur Authentifizierung. Sobald eine App geknackt ist, kann ein Angreifer sie letztlich auch als Multiplikator für gefährliche Malware verwenden, um z.B. andere Apps auf dem Gerät des Opfers oder sogar das Unternehmen hinter der App anzugreifen.

Hybrid Apps

Sicherheit für hybride Apps

Für diese Sicherheitsprobleme und Risiken gibt es jedoch eine Lösung. Wichtige Stichworte sind hier Obfuscation (Verschleierung) und Runtime-Protection, d.h. zwei App Protection-Technologien, die bereits nach Ende des Entwicklungsprozesses in den JavaScript- oder HTML-Code eingefügt werden und die App mit der nötigen Sicherheit ausstatten. Erstere Technik sorgt dafür, dass ein Softwareprogramm in einen Code umgewandelt wird, welcher schwer zu zerlegen und zu verstehen ist, jedoch die gleiche Funktionalität wie das Original bietet. Die Software bleibt so voll funktionsfähig, ist aber gleichzeitig extrem resistent gegen Reverse-Engineering, da der Code für einen nicht autorisierten Benutzer verschleiert und deshalb praktisch unbrauchbar ist.

Beim Runtime-Schutz geht es wiederum darum, der App die Fähigkeit zu verleihen, selbst zu erkennen, ob sie manipuliert wurde oder angegriffen werden könnte, etwa durch das Bilden von Prüfsummen bei jedem Hochfahren. Auch kann die App auf diese Weise gefährliche Sandbox-Umgebungen von ungefährlichen Umgebungen, d.h. „normalen“ Mobilgeräten, unterscheiden.

Verbraucher müssen Vorsicht walten lassen

So unsicher hybride Applikationen auch sind, sie stellen bei Weitem nicht das einzige Risiko in unserer App-zentrierten Welt dar. Tatsache ist, dass grundsätzlich alle Applikationen und vor allem mobile Apps, die sichere und geschützte Umgebungen verlassen, anfällig für Cyberangriffe sind. Das größte Risiko für einen Verbraucher besteht letztlich darin, dass ein Hacker die Kontrolle über sein Gerät und alles, was darauf gespeichert ist, erhält. In Zeiten, in denen das Mobilgerät auch in äußerst sensiblen und kritischen Bereichen, wie etwa dem Banking, eingesetzt wird, sind Identitätsdiebstahl und Finanzbetrug letztlich immer nur einen Augenschlag entfernt. Bei der Infizierung mit gefährlicher Malware spielen dabei in zunehmendem Maße auch gefälschte Versionen beliebter Apps eine wichtige Rolle. Angreifer stehlen dabei Code aus einer legitimen App und erstellen damit einen überzeugenden Klon, der wie gewohnt läuft und das Gerät des Benutzers infiziert. Da es diese Apps immer öfter auch in offizielle App-Stores schaffen, ist bei jedem Download besondere Vorsicht geboten – egal ob native oder hybride App!

Autor: Mirko Brandner, Technical Manager, Arxan

   


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

mobile Entwicklung

SecurePIM Messenger mit neue Funktionen

Virtual Solution hat die Messenger-Funktionalitäten seiner App SecurePIM in der aktuellen Version für iOS und Android erweitert. Mobile Mitarbeiter können jetzt verschlüsselte Telefonate führen, noch einfacher Dokumente teilen und auf einen Blick ungelesene…
Mobiles arbeiten

Mobilität ohne Risiken: IT-Sicherheit in modernen Unternehmen

Die moderne Arbeitswelt stellt Unternehmen vor große Herausforderungen: Mit zunehmender Mobilität der Mitarbeiter steigt das Sicherheitsrisiko enorm. Um gegen Cyberangriffe gewappnet zu sein, ist ein innovatives Sicherheitskonzept mit zuverlässigen mobilen…
Mobile Security

Tipps für den Schutz vor Schadsoftware und Malware bei Smartphones

Das Netz birgt für Nutzer vielerlei Gefahren. Viren, Trojaner und andere Formen von Schadsoftware gefährden die Sicherheit der eigenen Daten. Auf dem Computer und Laptop sorgen in der Regel entsprechende Programme für Schutz.
Mobile Security

Hackerangriffe und Sicherheitslücken bei Smartphones

Hackerangriffe auf Smartphones nehmen zu. Laut der Studie Cyber Attack Trends: 2019 Mid-Year Report* nahmen Cyberangriffe auf Smartphones und mobile Geräte im ersten Halbjahr 2019 gegenüber dem Vorjahr um 50 Prozent zu. Betroffen sind laut Studie vor allem…
Mobile-Banking

Ist Mobile-Banking heute noch sicher?

Das 2-stufige Verifizierungsverfahren sowie Banking-Apps sind leider nicht mehr sicher! Ralf Schmitz, Ethical-Hacker, der sich seit über 20 Jahren mit der Sicherheit befasst und regelmäßig Vorträge in Deutschland hält, hat es selbst getestet.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!