State of Mobile App Security 2014-2015

App-Security-Mythos widerlegt – iOS ist unsicherer als Android
Kommentare

Eine vom Mobile- und Web-Security-Entwickler Checkmarx in Auftrag gegebene Studie ist zu teils grauenerregenden Ergebnissen in Sachen Mobile-App-Security gekommen. Überdies konnte das gängigen Vorurteil, Apples iOS sei sicherer als Android, nicht bestätigt werden.

Immer mehr Apps, immer mehr User – das ergibt logischerweise immer mehr Möglichkeiten, sich unbefugten Zugang zu fremden Geräten zu verschaffen. Dass im Augenblick die Entwicklung effektiver Mobile-Security-Software ebenso wie das Sicherheitsbewusstsein von Nutzern und Entwicklern dem rapiden Anstieg der App-Nutzung massiv hinterherhinkt, erleichtert Hackern ihre Aufgabe ungemein. Dabei ist gerade bei Mobilegeräten das Risiko besonders hoch: Sie sind leichter physisch zugänglich und enthalten oft sensible private und/oder geschäftliche Daten. Es gibt also Nachholbedarf. Ein Blick auf die Ergebnisse der Checkmarx-Studie kann helfen, das Ausmaß der Gefährdung und die gröbsten Sicherheitslücken zu identifizieren.

Die größten Schwachstellen und was dagegen getan werden kann

Im Auftrag von Checkmarx haben die Appsec Labs im Zeitraum von 2014 bis 2015 hunderte von Mobile-Applikationen aus den unterschiedlichsten Bereichen auf ihre Sicherheitsvorkehrungen getestet und dabei teils gravierende Mängel festgestellt. Satte 9.041 Schwachstellen wiesen die gestesteten Apps im Durchschnitt auf, davon sind stolze 37 Prozent im hohen oder gar kritischen Bereich angesiedelt, können also schweren bis sehr schwereren Schaden zur Folge haben. Insgesamt sieben Gefahrenarten haben die Forscher ausmachen können. Sie sind im Folgenden nach der Häufigkeit (nicht nach der Qualität der Schwachstelle!) ihres Auftretens aufgelistet.

1. Input Validation Handling

Zwar sind nur fünf Prozent der getesteten Apps anfällig für Attacken, die schlechte Input-Validation-Methoden auszunutzen. Diese können dann allerdings in über 80 Prozent der Fälle zu Schäden im mittleren bis kritischen Bereich führen.

2. Availability

Auch wenn dieses Problem sich nur bei sieben Prozent der Apps findet, kann es im Großteil der Fälle schwerwiegende Folgen haben. Gegen Abstürze aufgrund von Denial-of-Service-Attacken (DoS) hilft es allerdings bereits, die Anzahl der Requests zu limitieren. Außerdem sollte man alle eingehenden Intents einer Input Validation unterziehen bzw. schlecht formatierte Intents ignorieren. Darüber hinaus sollte man alle Exceptions erfassen, um DoS-Angriffe zu blocken, die auf System-Exceptions zurückgreifen.

3. Schwache Kryptographie

Zu ähnlichen Daten kommt die Untersuchung im Bezug auf Kryptographie, wobei hier die Gefahr schwerer Exploits etwas höher liegt. Wichtig ist es, auf dem neusten Stand der Kryptographietechnologie zu sein. Etwa empfiehlt es sich, Googles Beispiel bzw. der Vorgabe der Internet Engineering Task Force zu folgen und den RC4-Standard fallen zu lassen.

4. Enthüllung von Informationen

An sich keine besonders gefährliche Sicherheitslücke kann die Offenlegung etwa von technischen Informationen eine willkommene Unterstützung bei der Vorbereitung von späteren Angriffen auf andere Teile des Systems sein. Da im Test immerhin 14 Prozent der Apps diese Schwachstelle aufwiesen, sollte man sie auf keinen Fall auf die leichte Schulter nehmen. Einen Angreifer kann man bspw. durch extreme Obfuscation (etwa: Verneblung) daran hindern, Daten aus der APK-Datei zu entwenden.

Stellen Sie Ihre Fragen zu diesen oder anderen Themen unseren entwickler.de-Lesern oder beantworten Sie Fragen der anderen Leser.

5. Konfigurationsmanagement

Falsche oder unangemessene Konfigurationen stellen dagegen keine so große Gefahr dar. Nur 16 Prozent der getesteten Apps verfügen über diese Schwachstelle, die Angriffe mit niedrigen oder höchstens mittleren Schadenserwartungen erlaubt. Es sind geeignete Kontrollmechanismen erhältlich, die ein angemessenes Konfigurationsmanagement sicherstellen.

6. Authentifizierung / Autorisation

Mit 23 Prozent sind Sicherheitslücken, die Datenzugang ohne Genehmigung ermöglichen, die zweitgrößte Schwachstelle im Bereich der Mobile Security. Davon können wiederum fast zwei Drittel in hohem oder kritischen Maße ausgenutzt werden. Dementsprechend ist eine der dringlichsten Aufgaben für Entwickler, die Authentifizierungs- und Autorisationsmechanismen zu verbessern. Dazu sollte man sich zunächst ein gesundes Misstrauen gegen die Clients angewöhnen und stets sicherstellen, dass der entsprechende User die notwendigen Zulassungen hat. Desweiteren ist es sinnvoll, nach drei bis fünf fehlgeschlagenen Loginversuchen ein Captcha-Mechanismus oder ähnliches benutzen. Um ganz sicher zu gehen, kann man über den Einsatz einer Zwei-Faktoren-Authentifizierung nachdenken

7. Datenleaks

Informationsdiebstahl ist nicht nur die häufigste Sicherheitsverstoß (mit 27 Prozent), sondern auch einer der gefährlichsten. 50 Prozent der möglichen Schäden können von mittlerer und nochmal über 40 Prozent von hoher oder gar kritischer Schwere sein. Die einfachste Art dieser Gefahr Herr zu werden, ist nach Rat der Forscher schlicht keine wichtigen Daten auf dem Mobile-Gerät zu lagern. Plain and simple, aber zugegebenermaßen etwas unbefriedigend.

iOS vs. Android

Ebenso spannend sind die Ergebnisse beim Vergleich der Betriebssysteme. Entgegen der weit verbreiteten Vorstellung, Android wäre anfälliger für Hacks als iOS, zeigt sich, dass beide System einen fast identischen Gefährdungsgrad aufweisen, ja sogar, dass iOS etwas ungeschützter ist. Das liegt vor allem daran, dass beim Thema App-Security Apples Sicherheitsmechanismen nicht wirklich greifen können, da etwaige Sicherheitslücken bereits im Code der jeweiligen Apps vorfindlich sind. Daher können bei iOS-Apps in 40 Prozent der Fälle mangelnde Schutzfunktionen zu schweren bis kritischen Schäden führen, das sind vier Prozent mehr als bei Android-Apps.

Wie weiter?

Die Studie geht hauptsächlich mit den Entwicklern hart ins Gericht, bei denen sie noch Nachholbedarf in Sachen Sicherheitsbewusstsein sieht. Sollte sich nicht bald etwas tun, befürchten die Autoren einen steilen Anstieg bei Mobile-App-Hacks. Dagegen hilft nur ein konsequentes Vorgehen bereits auf der Code-Ebene, etwa durch Integration von Best Practices, durch intensivere Ausbildung der Programmierer und frühzeitiges Testing. Von zentraler Wichtigkeit sei es außerdem, sich nicht auf äußerliche Security-Mechanismen zu verlassen, sondern bereits innerhalb der App adäquate Schutzfunktionen zu implementieren. Wie immer in Security-Angelegenheiten sind wir Zeuge eines Wettlaufs zwischen Hackern und Sicherheitsexperten. Im Moment liegen die Good Guys leider weit zurück.

Aufmacherbild: 3d image. White people thief. Smartphone with safe door via Shutterstock, Urheberrecht: panyajampatong

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -