In einem neuen Sicherheitsbericht zum Thema Mobile Security hat das auf Mobile-Sicherheitslösungen konzentrierte Unternehmen NowSecure die Sicherheit von mehr als 400.000 im Google Play Store veröffentlichten Applikationen unter die Lupe genommen – und dabei eine Reihe eklatanter Sicherheitsmängel festgestellt. Getestet wurden die Apps dabei jeweils mit einem von NowSecure entwickelten, automatisierten App-Sicherheits-Testsystem auf einem physischen Device.
Probleme der Mobile Sicherheit im Überblick
Bei der Analyse von Mobile-Applikation wurde nach dem SCAN-Prinzip vorgegangen, das sich aus den Bereichen System, Configuration, App und Network zusammensetzt. Die Ergebnisse des daraus folgenden Berichts sind eindeutig: So beinhalten knapp ein Viertel der Apps mindestens ein, oft jedoch mehrere als „High Risk“ eingestufte Sicherheitsmängel.
Zudem sind 35 Prozent aller Kommunikationsvorgänge, die von Mobile Devices aus gesendet werden, nicht verschlüsselt. Business-Applikationen sind in vielen Fällen sogar noch unsicherer als andere Apps; außerdem sind Gaming-Apps deutlich häufiger von High-Risk-Schwachstellen betroffen.
System-Probleme
Laut Google CEO Sundar Pichai nutzten im letzten Jahr gut 1,4 Millarden User ein Android-Device – sprich, acht von zehn Smartphones laufen mit einer Version des Android-Betriebssystems; aktuell ist Android 4.4.2 die weitverbreitetste OS-Version. Wenig verwunderlich ist da, dass besonders viele Angriffe auf Android-Devices abzielen: So sind knapp 82 Prozent aller Android-Devices bei mindestens einem der 25 von der Vulnerability Test Suite for Android getesteten Android-OS-Mängel angreifbar. Problematisch ist dabei vor allem, dass oft viel Zeit zwischen dem Entdecken einer Sicherheitslücke und dem Ausspielen von entsprechenden Patches an die User vergeht:
Patches can take many months or more than a year to make their way to users‘ devices.
Doch auch bei iOS-Devices ist man vor Schwachstellen im System nicht gefeit. So gab es in 2015 ganze 375 Schwachstellen in Apples Mobile-Betriebssystem – also knapp dreimal mehr Schwachstellen als etwa in Android-Devices (130 Sicherheitslücken). Immerhin nutzen gut 71 Prozent der User bereits iOS 9.2, während der Anteil von Legacy-iOS-Versionen im Vergleich zur Versions-Fragmentierung auf Android-Geräten eher gering ist.

Creating a hybrid and multi-cloud strategy using Azure API Management
Eldert Grootenboer (Motion10)

From Horror Story to Fairy Tale: Writing code people want to read
Michael Dowden (Andromeda Galactic Solutions)
Konfigurations-Probleme
Neben Schwachstellen des Betriebssystems bietet auch eine falsche Konfiguration von Mobile Devices durch den User eine Angriffsmöglichkeit für Cyberkriminelle. So nutzen etwa 43 Prozent der Mobile-User keinen Passcode, Pin oder Entsperrungsmuster, um ihr Gerät vor nicht autorisierten Zugriffen zu schützen. Auch andere Konfigurations-Issues wie Verschlüsselungseinstellungen, das Aktivieren von USB-Debugging und die Installation von Apps von unbekannten Quellen können die Device-Sicherheit negativ beeinflussen.
Netzwerk-Probleme
Was zwar einer der größten Vorteile von Mobile Devices ist, ist gleichzeitig eine ihre größten Schwachstellen: die kontinuierliche Anbindung an WiFi- und mobile Netzwerke. Die Analyse von NowSecure zeigt, dass jeden Monat gut die Hälfte aller Geräte mit einem unsicheren/ungeschützten WiFi-Netzwerk verbunden wird. Dadurch werden Devices schnell für Datenverlust und -Manipulation angreifbar; zudem trägt auch die Verteilung von Daten über unverschlüsselte Netzwerkverbindungen zur Gefährdung bei.
App-Probleme
Apps bieten das größte Gefahrenpotential für die Sicherheit von Mobile Devices. In den über 400.000 getesteten Apps im Google Play Store weist knapp ein Viertel mindestens einen High-Risk-Sicherheitsmangel auf; gut elf Prozent der Apps verteilen sensitive Daten über das Netzwerk und spielen so etwa auch Social-Engineering-Vorgängen in die Hände.
High-Risk-Probleme in einer von vier Mobile-Apps
Vor allem drei Problembereiche stechen bei der Analyse von App-Schwachstellen ins Auge: Daten-Leaks von sensitiven Daten, Netzwerk-Probleme und Dateisystem-Probleme. Dabei wurden in der Analyse insgesamt 16.036 High-Risk-Probleme innerhalb der beliebtesten Apps gefunden – sprich in Apps, die jeweils mehr als eine Million Mal heruntergeladen wurden. Je nach App-Kategorie gibt es dabei jedoch einige Unterschiede, die die nachfolgende Tabelle zusammenfasst:
Business | Finanz-Apps | Spiele | Shopping | Social |
---|---|---|---|---|
|
|
|
|
|
Damit wird deutlich, dass vor allem Gaming- und Social-Apps anfällig für Schwachstellen sind. Angesichts der Tatsache, dass gerade Applikationen aus diesen Kategorien von Mobile-Usern genutzt werden, ist die Verbesserung der Mobile-App-Sicherheit enorm wichtig – und hier besteht bei vielen Unternehmen großer Nachholbedarf.
Lesen Sie dazu auch: 6 Mobile-Security-Risiken und was Unternehmen dagegen tun können
Dementsprechend sollten sie sich intensiv mit den Möglichkeiten zur Vermeidung von Schwachstellen beschäftigen, findet auch das Analyse-Team von NowSEcure:
Enterprise IT and security teams should take data points such as these into consideration as they develop and manage their mobile security strategies.
Mehr Informationen dazu bietet der vollständige Bericht, der auf der Unternehmenswebsite zur Ansicht zur Verfügung steht.
Aufmacherbild: Smartphone Mobile Security von Shutterstock / Urheberrecht: canbedone