TAUSENDE APPS ZU UNSICHER FÜR EINSATZ IN UNTERNEHMEN

13.07.2016 Sonstiges

60 Prozent der beliebtesten iOS-Apps sind nicht für den Unternehmenseinsatz geeignet. Das haben Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie im Rahmen einer Testreihe herausgefunden.

Die Forscher prüften die beliebtesten kostenlosen Apps aller Kategorien aus Apples „App Store“ und fanden teils gravierende Sicherheitslücken in der Programmierung: Bei rund 25 Prozent der Apps verzichteten die Entwickler absichtlich auf Schutzfunktionen und jede fünfte App verschickte Daten an mehr als fünf Unternehmen, die mit der eigentlichen App-Funktion nichts zu tun haben.

In einem weiteren Forschungsprojekt wurde festgestellt: iPhone-Apps von Drittanbietern können langfristig und umfassend das Telefonieverhalten des Nutzers erfassen. Die beiden Sicherheitsforschern Andreas Kurtz und Markus Troßbach sind – wie es auf heise.de heißt – auf undokumentierte API-Methoden (API = Anwendungsprogrammierschnittstelle) gestoßen, die einer App nicht nur verraten, ob der Nutzer gerade telefoniert, sondern auch mit wem. Die App kann diese Metadaten über einen längeren Zeitraum erfassen, sofern sie aktiv im Hintergrund läuft. Um zu verhindern, dass sie vom System eingefroren wird, könnte sie beispielsweise eine stille Audiodatei in Endlosschleife abspielen.

Bei zahlreichen Anwendungen stellten die Experten des Fraunhofer-Instituts auch Verschlüsselungsmängel fest. „Dadurch können versierte Angreifer zum Beispiel PINs ausspionieren und im Falle von Banking-Apps auch finanziellen Schaden anrichten“, sagt Jens Heider, Leiter des Testlabors Mobile Sicherheit am Fraunhofer SIT in Darmstadt. Für ihre Untersuchung haben die Fraunhofer-Experten das Testwerkzeug Appicaptor genutzt, das große Mengen von Apps automatisiert auf Sicherheit prüft.

Zusätzlich zu den beliebtesten Apps testeten die Fraunhofer-Forscher 10.000 zufällig ausgewählte kostenlose Apps und damit mehr als doppelt so viel wie die Top200 aller Kategorien. Die meisten Sicherheitsmängel verursachen Programmierer, die absichtlich Schutzeinstellungen in der Programmierumgebung deaktivieren. Dadurch wird es für Angreifer wesentlich einfacher, Apps zu attackieren. In über zehn Prozent der Apps fanden die Fraunhofer-Tester eine besonders gravierende Sicherheitslücke: Hier ist die gesicherte Verbindung über SSL nicht korrekt implementiert. Über diese Lücke können Angreifer Zugangsdaten stehlen und den gesamten Datenverkehr zwischen der App und dem Handynutzer manipulieren. Dadurch können Angreifer zum Beispiel bei Banking-Apps Geld von Benutzerkonten stehlen. Auch in Sachen Datenschutz und Datensicherung fanden die Wissenschaftler gravierende Mängel. So verschickte eine App Informationen an 16 Unternehmen.

Für den Massentest der iOS-Apps nutzte das Fraunhofer-Testlabor das selbst entwickelte Testwerkzeug Appicaptor, das jede App auf verschiedene Standardkriterien überprüft und automatisch Testberichte mit einer entsprechenden Gesamteinschätzung generiert. Unternehmen können die Lösung nutzen, um Apps schnell und einfach zu bewerten. „Apple selbst kann nichts für das schlechte Abschneiden vieler Apps“, erklärt Jens Heider. „Die iOS-Plattform bietet gute Möglichkeiten, Apps mit hoher Sicherheitsqualität zu programmieren, aber das kommt in der Masse der Apps nicht an, weil viele Entwickler nicht sauber arbeiten.“

Zurück