Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

Virus Gesicht 576910531 500

Hybride Anwendungen haben in den letzten Jahren stark an Popularität gewonnen. Das liegt nicht zuletzt an ihrer Vielseitigkeit. Denn da der Basiscode bei hybriden Apps Plattform-übergreifend eingesetzt werden kann, sparen sich Entwickler und Anbieter wertvolle Zeit und schonen so ihre finanziellen Ressourcen. Doch auch hier gilt: Wo Licht ist, ist auch Schatten. 

Aus Security-Sicht weisen hybride Anwendungen nämlich einige Schwachstellen und Sicherheitslücken auf, die Cyberangriffe und Manipulationen begünstigen. Effektive App-Schutz-Maßnahmen, die diese Lücken sorgfältig schließen, sind bei Hybrid-Apps deshalb umso wichtiger.

Hybride Anwendungen kombinieren die Vorteile von nativen d.h. für spezielle Betriebssysteme programmierten Apps und Web-Anwendungen. Obwohl der App-Code über webseitenbasierte Technologien wie HTML5, CSS oder JavaScript entwickelt wird, laufen die Apps in einem Webview-Container und sind als native Anwendungen verpackt. Dies ermöglicht ihnen, auf native APIs und Funktionen des jeweiligen Betriebssystems zuzugreifen. Auf diese Weise können Anbieter die Märkte für Android, Windows und Apple gleichzeitig bedienen und dabei Zeit und Ressourcen sparen. Zudem erleichtert es den Einstieg in neue Märkte wie etwa den Smart TV-Sektor, wo aufgrund der stark unterschiedlichen Architektur die Portierung einer mobilen App meist mit erheblichem Aufwand verbunden ist. Und auch in der Industrie für Mobile Games und digitale Medienanwendungen stehen Hybrid-Apps hoch im Kurs.

Risiko „Man-in-the-Middle-Angriff“ und Datendiebstahl

Bei all den Vorteilen darf man aber auch die negativen Seiten hybrider Anwendungen nicht aus den Augen lassen, denn im Vergleich zu herkömmlichen mobilen Anwendungen sind sie deutlich anfälliger für Cyberangriffe und Manipulationen durch Hacker. Dies liegt vor allem daran, dass JavaScript und HTML typischerweise weniger Geschick beim Reverse Engineering und der Modifikation von Codes erfordern. Und da die App in einem Webbrowser umgeben von allen Browser-Fähigkeiten läuft, ist es für Angreifer auch deutlich einfacher, ferngesteuerte Man-in-the-Middle-Angriffe durchzuführen, bei denen Daten während der Übertragung abgefangen werden. Dies öffnet Angreifern die Türe zu sensiblen von der App gespeicherten oder gesendeten Informationen, wie etwa vertrauliche Kreditkarten-, Bank- und Patientendaten oder aber biometrische Daten zur Authentifizierung. Sobald eine App geknackt ist, kann ein Angreifer sie letztlich auch als Multiplikator für gefährliche Malware verwenden, um z.B. andere Apps auf dem Gerät des Opfers oder sogar das Unternehmen hinter der App anzugreifen.

Hybrid Apps

Sicherheit für hybride Apps

Für diese Sicherheitsprobleme und Risiken gibt es jedoch eine Lösung. Wichtige Stichworte sind hier Obfuscation (Verschleierung) und Runtime-Protection, d.h. zwei App Protection-Technologien, die bereits nach Ende des Entwicklungsprozesses in den JavaScript- oder HTML-Code eingefügt werden und die App mit der nötigen Sicherheit ausstatten. Erstere Technik sorgt dafür, dass ein Softwareprogramm in einen Code umgewandelt wird, welcher schwer zu zerlegen und zu verstehen ist, jedoch die gleiche Funktionalität wie das Original bietet. Die Software bleibt so voll funktionsfähig, ist aber gleichzeitig extrem resistent gegen Reverse-Engineering, da der Code für einen nicht autorisierten Benutzer verschleiert und deshalb praktisch unbrauchbar ist.

Beim Runtime-Schutz geht es wiederum darum, der App die Fähigkeit zu verleihen, selbst zu erkennen, ob sie manipuliert wurde oder angegriffen werden könnte, etwa durch das Bilden von Prüfsummen bei jedem Hochfahren. Auch kann die App auf diese Weise gefährliche Sandbox-Umgebungen von ungefährlichen Umgebungen, d.h. „normalen“ Mobilgeräten, unterscheiden.

Verbraucher müssen Vorsicht walten lassen

So unsicher hybride Applikationen auch sind, sie stellen bei Weitem nicht das einzige Risiko in unserer App-zentrierten Welt dar. Tatsache ist, dass grundsätzlich alle Applikationen und vor allem mobile Apps, die sichere und geschützte Umgebungen verlassen, anfällig für Cyberangriffe sind. Das größte Risiko für einen Verbraucher besteht letztlich darin, dass ein Hacker die Kontrolle über sein Gerät und alles, was darauf gespeichert ist, erhält. In Zeiten, in denen das Mobilgerät auch in äußerst sensiblen und kritischen Bereichen, wie etwa dem Banking, eingesetzt wird, sind Identitätsdiebstahl und Finanzbetrug letztlich immer nur einen Augenschlag entfernt. Bei der Infizierung mit gefährlicher Malware spielen dabei in zunehmendem Maße auch gefälschte Versionen beliebter Apps eine wichtige Rolle. Angreifer stehlen dabei Code aus einer legitimen App und erstellen damit einen überzeugenden Klon, der wie gewohnt läuft und das Gerät des Benutzers infiziert. Da es diese Apps immer öfter auch in offizielle App-Stores schaffen, ist bei jedem Download besondere Vorsicht geboten – egal ob native oder hybride App!

Autor: Mirko Brandner, Technical Manager, Arxan

   

GRID LIST
 Android-Malware

Bedrohungslage für Android verschärft sich

Die Gefahrenlage für Android-Mobilgeräte spitzt sich weiter zu: 810.965 neue Schaddateien…
Hacked Smartphone

Hybrid-Apps als Einfallstor für Angriffe

Immer mehr Hybrid-Apps im Einsatz – diese bringen Risiken der Webtechnologie auf…
USB

Unternehmen kommen an ein USB-Device-Management nicht vorbei

Optische und magnetische Wechselmedien (beispielsweise CD, DVD, MO-Disk usw.) wurden in…
Mobile Mitarbeiter

Standortvernetzung und sichere Anbindung von mobilen Mitarbeitern | Case Study

Infotecs, Cyber Security und Threat Intelligence Anbieter realisiert ein Projekt zusammen…
Authentifizierung

App sichert Online-Transaktionen und digitale Zugriffe

HID Global, weltweiter Anbieter von vertrauenswürdigen Identitätslösungen, präsentiert…
Mobile Security Tablet

AV-TEST: Perfekter Schutz mit G DATA Mobile Internet Security

Das Test-Institut AV-TEST hat im neuen Vergleichstest 20 Sicherheitslösungen für das…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet