25.04.2017 Die mobile Sicherheitslücke – Problematik App Security

Symbolbild

Smartphones und andere smarte Devices durchdringen unser alltägliches Leben. Mit diesen Helfern wird unser Leben erleichtert.

Durch die permanente Onlineverbindung können das Internet oder netzbasierte Services ständig genutzt werden. Doch das Bewusstsein, dass dies auch in die andere Richtung möglich ist, ist kaum vorhanden.

Der App Market boomt wie kein anderes Gebiet im Bereich der Softwareentwicklung. Über 2,6 Millionen Apps sind im Google Playstore verfügbar, in Apples App Store sind es über 2,2 Millionen und die Tendenz ist weiter steigend (siehe Bild unten). 

Grafik: Available Apps in Androis and Apple Store

Der einfache Zugang zu den Entwicklungstools und auch der überschaubare Funktionsumfang von vielen mobilen Anwendungen tragen zu diesem Trend bei.

Doch mobile Software hat einen sehr persönlichen Bezug. Unsere ständigen digitalen Begleiter kennen unsere Kontakte, unsere Kommunikation, unsere persönlichen Interessen auf Grund von Internetsuchverhalten und installierten Apps. Smartphones wissen sogar, wo wir waren, wo wir uns gerade befinden und prognostizieren auch, wo wir uns hinbewegen werden. Dieses Pattern-of-Life ist ein sehr wertvolles Gut, das auf jeden Fall geschützt werden soll.

Bei der Betrachtung von App Security liegt der Fokus oft auf dezidierter Schadsoftware -  sogenannter Malware. Untersuchungen von NowSecure zeigen aber, dass Malware nur einen kleinen Teil ausmacht. Der weitaus größere Teil von unsicherer Software sind Apps mit unzureichender Sicherheit in der Implementierung. Von den untersuchten Apps kommunizieren 15% über unverschlüsselte Netzwerkverbindungen, welche ohne nennenswerten Aufwand abgehört werden können. 48% der betrachteten Apps haben mindestens einen Hochrisiko-Fehler in der Umsetzung (siehe NowSecure, 2015, HOW SAFE IS YOUR MOBILE DATA?)

Die wichtigsten Risiken in Mobile Anwendung werden jährlich von OWASP in der Top 10-List zusammengefasst  (OWASP, 2017, Mobile Top 10 Risks 2016).

Die gefährlichsten Fehlerquellen für unsichere Software sind hier

  • unpassende und unsichere Verwendung der Plattform-Features
  • unsichere Datenspeicherung
  • unsichere Kommunikation

Mit welchen Risiken muss eine Entwicklerin oder ein Entwickler umgehen?

In den raschen Entwicklungszyklen von mobiler Software ist es wichtig, dass die Sicherheit nicht außer Acht gelassen wird. Der Ausgangspunkt für sicheres App-Development ist die richtige Nutzung der mobilen Plattform. Android und iOS entwickeln sich in dem Bereich ständig weiter und die richtige Nutzung der integrierten Features verbessert die Sicherheit enorm (siehe Security Guidelines Apple, 2017, iOS Security White Paper,  und Android Google, 2017, Security for Android Developers)

Besonderes Augenmerk muss vor allem auf die sichere Speicherung von lokalen Daten gelegt werden. Durch das Abspeichern von Zugriffs-Tokens in nicht gesicherten Bereichen wie z. B. der SD-Card wird nicht nur die App Sicherheit gefährdet, sondern auch das dahinterliegende Backend-System. Lokal gespeicherte Daten dürfen auch nicht im Klartext abgelegt werden. Verlässliche Verschlüsselungsalgorithmen wie z. B. AES tragen dazu bei, dass sensible Informationen nicht ausgelesen werden können.

Die Datenmenge, die lokal am Gerät gespeichert ist, sollte ohnehin so gering wie möglich gehalten werden. Besser ein „dumb“ Client mit wenig Business-Logik auf dem Gerät und Nutzung von sicheren Netzwerkverbindungen.

Um das Rad nicht neu zu erfinden, werden oft SW-Bibliotheken von Drittanbietern genutzt. Dabei muss man jedoch darauf achten, dass man dadurch nicht Angriffspunkte in der eigenen App ermöglicht. Die sorgfältige Prüfung von Fremdsoftware ist besonders wichtig.

Bevor die Software ausgeliefert wird, muss die Sicherheit noch ausgiebig getestet werden. Dazu gehören unter anderem Tests von invaliden Eingaben, Cross-site-Request oder SSL/TSL Weekness-Test  (siehe auch: Evan Rose, 2016, A developer’s perspective on mobile app security rules of the road,  und NowSecure, 2015, Secure Mobile Development Best Practices,  .

Welchen Risiken sollen sich Smartphone Benutzerinnen und Benutzer bewusst sein?

Auch als Smartphone-Besitzer muss man sich bewusst sein, dass unsere digitalen Helferlein oft mehr über uns preisgeben können als uns lieb ist.

Die beiden wichtigsten mobilen Plattformen Android und Apple bieten eine Menge an integrierten Schutzmechanismen, die man auch als reine Anwenderin bzw. reiner Anwender nutzen sollte. Die wichtigsten Punkte für sichere Smartphone Nutzung sind unter anderem

  • Lock-Mechanismen wie PIN oder Login-Code
  • keine Nutzung von ungesicherten WLANs
  • Verschlüsselung der Gerätedaten
  • Nutzung von originalen Store-Versionen von Apps
  • hinterfragen von Berechtigungsanforderungen
  • regelmäßige Updates von Betriebssystem und Apps
  • Nutzung von Security Apps um die Sicherheit regelmäßig zu überprüfen

Das erste Smartphone ist erst vor 10 Jahren erschienen und ist aus unserem Alltag nicht mehr wegzudenken. Der Boom von mobilen Diensten und Anwendungen wird auch noch in den nächsten Jahren anhalten. Das bietet jedoch auch Risiken die in der Implementierung sowie auch in der Anwendung auftreten können. In Zukunft müssen Entwicklerinnen und Entwickler sowie Anwenderinnen und Anwender Ihr Bewusstsein für mobile Sicherheit stärken.

Datum der Veröffentlichung: 25.04.2017

Für den Inhalt verantwortlich:
  • FH Joanneum