Vor allem bei den immer beliebter werdenden Finanz- und Gesundheits-Apps ist das nicht nur gefährlich, sondern nahezu fahrlässig – immerhin geht es hierbei um sensitive Daten, die in den falschen Händen einigen Schaden für den Nutzer anrichten können. Dabei zeigt die Studie, dass sogar knapp die Hälfte (48 Prozent) der befragten Nutzer davon ausgeht, dass die von ihnen genutzten Applikationen in den kommenden sechs Monaten zum Ziel eines cyberkriminellen Angriffs werden könnten. Ebenso gehen 46 Prozent der befragten IT-Executives, die Einblicke in die Sicherheit der von ihnen entwickelten Apps haben, von einem in naher Zukunft folgenden Hackerangriff aus.
90 % der getesteten Apps mit Sicherheitslücken
Es ist also eine durchaus kritische Situation, in der sich die Entwickler von Mobile-Apps befinden. Dabei zeigen die Ergebnisse der Studie deutlich, dass ein Großteil der Mobile-Apps gravierende Sicherheitsrisiken aufweisen und bei den durchgeführten Sicherheitstests reihenweise durchfielen.
Wie wurden die Ergebnisse der Studie ermittelt?
Der 5th Annual State of Application Security Report basiert auf einer von Arxan, einem Anbieter von Sicherheitslösungen für Mobile Devices, Desktops, Servers und Embedded Platforms, in Auftrag gegebenen Studie, in der im November 2015 1.083 Teilnehmer aus den USA, Großbritannien, Deutschland und Japan zur Nutzung von Finanz- und Gesundheitsapp befragt wurden. Dabei zählen sowohl normale Endnutzer als auch IT-Mitarbeiter von Unternehmen, die entsprechende Applikationen entwickeln, zu den Befragten.
Ebenso beinhaltet der Bericht die Untersuchung von 126 beliebten Mobile-Apps im Bereich Finanzen und Gesundheit sowohl für iOS als auch für Android. Dazu zählen auch Apps, die von Organisationen wie der US Food and Drug Administration oder dem britischen National Health Service empfohlen werden.
So weisen über 90 Prozent der in der Studie getesteten 126 beliebtesten Gesundheits- und Finanz-Apps mindestens zwei der von der Open Web Application Security Project (OWASP) zusammengestellten Top-Ten-Sicherheitsrisiken auf. Die Folgen davon sind eindeutig:
Such vulnerabilities could allow the apps to be tampered and reverse-engineered, put sensitive health or financial information in the wrong hands and, even worse, potentially force critical health apps to malfunction or redirect the flow of money.
Auffällig dabei ist auch, dass insbesondere von Behörden und Organisationen wie der US Food and Drug Administration (FDA) oder UK National Health Service (NHS) empfohlene Apps im Bereich App-Sicherheit schlecht abschnitten. Zu den häufigsten Risiken zählen dabei vor allem ein Fehlen eines binären Schutzes, unzureichender Transport-Layer-Schutz und unbeabsichtigte Datenlecks (siehe Screenshot, Quelle: 5th Annual State of Application Security Report.
Top-Ten-Risiken bei Mobile Apps, Quelle: Arxan
Wahrnehmung vs. Realität
Nur weil die getesteten Apps diverse Sicherheitsrisiken aufweisen, heißt das noch lange nicht, dass die Nutzer sich dessen bewusst sind. So gaben 84 Prozent der Befragten an, dass die von ihnen genutzten Apps ausreichend sicher seien; 63 Prozent glauben, dass alles Nötige getan wird, um Mobile Apps vor Angriffen durch Cyberkriminelle zu schützen.
Umso erschreckender ist es da, dass gerade einmal die Hälfte aller Unternehmen, die Mobile Apps entwickeln, in die Sicherheit ihrer Applikationen investieren. Kein Wunder also, dass ebenfalls knapp die Hälfte der Befragten von einem baldigen Hackerangriff auf die genutzten Apps ausgehen.
OGC APIs: A Suite of Standards to Spatially Enable Web APIs
Dr. Gobe Hobona (Open Geospatial Consortium (OGC))
The Path to an Unified API for Read and Write
Peggy Zheng (Airbnb)
Microservices mit Service Mesh: Hands-on mit Istio
Workshop mit Sascha Selzer und Tammo van Lessen (INNOQ)
Shared Data in verteilten Architekturen
Workshop mit Lars Röwekamp (Open Knowledge GmbH)
Doch immer mehr User sorgen sich – zu Recht – um die Sicherheit von Mobile Apps. 82 Prozent der Konsumenten würden, so die Ergebnisse der Studie, zu einer anderen App wechseln, wenn diese sicherer wäre; sogar 90 Prozent der App-Executives glauben, dass User von der Nutzung ihrer Apps absehen würden, wenn deren Unsicherheit publik würde.
Übrigens bestätigt sich auch in dieser Studie, dass die langläufige Meinung, iOS-Apps seien sicherer als Android ein Irrglaube ist: insbesondere die iOS-Versionen der getesteten Applikationen zeigten sich unsicherer als ihre Android-Counterparts. Ähnliche Ergebnisse lieferte auch eine andere Studie zum Thema Mobile-App-Sicherheit, die wir an anderer Stelle vorgestellt haben.
Tipps für mehr Mobile-App-Sicherheit
Angesichts solcher Ergebnisse stellt sich natürlich die Frage, was in puncto App-Sicherheit getan werden kann. Dafür nennt Arxan einige Tipps, die eigentlich selbstverständlich sein sollten, leider oft aber immer noch vernachlässigt werden:
| Für Unternehmen |
|
|---|---|
| Für Nutzer |
|
| Für Entscheidungsträger |
|
Alle Ergebnisse der Studie können im zugehörigen State of Application Security Report nachgelesen werden; auf der Website von Arxan fasst überdies auch eine Infografik die wichtigsten Punkte nochmals übersichtlich zusammen.
Efficient Transformers
Christoph Henkelmann, DIVISIO
Enhancing Page Visits by Topic Prediction
Dieter Jordens, Continuum Consulting NV
Machine Learning on Edge using TensorFlow
Håkan Silfvernagel, Miles AS
Micro Frontends – Probleme, Techniken, Lösungen
mit Lars Kölpin-Fresse (Open Knowledge GmbH)
Mono-, Modu-, Microliths – oder welche Steine nutze ich zum Bauen
mit Dr. Annegret Juncker (Allianz Deutschland AG)
Aufmacherbild: Modern smartphone with mobile security application interface on a screen. Isolated on white background von Shutterstock / Urheberrecht: Bloomua
[…] Browsing vs Social Engineering: Das müssen Webmaster wissenMobile-App-Sicherheit – mangelhaft!VoIP – im Visier der CyberkriminellenDDoS-Angriffe steigen weiter […]