Mobile Security Report von NowSecure zeigt große Sicherheitsdefizite in Mobile Apps auf

(Un-) Sicherheit von Mobile Apps – vor allem in Spiele- und Social-Apps
Kommentare

Ohne Smartphone oder anderes Mobile Device geht heutzutage fast keiner mehr aus dem Haus. Kein Wunder, dass es mittlerweile sogar mehr mobile Geräte gibt als Erdbewohner und im vergangenen Jahr die von Mobile Devices ausgeführten Suchanfragen die Anzahl der von Desktops aus gestellten Suchen überstiegen. Ein Bereich, in dem es jedoch trotzdem enorme Defizite gibt, ist die Sicherheit von Apps – und zwar gerade bei den Marktführern Android und iOS.

In einem neuen Sicherheitsbericht zum Thema Mobile Security hat das auf Mobile-Sicherheitslösungen konzentrierte Unternehmen NowSecure die Sicherheit von mehr als 400.000 im Google Play Store veröffentlichten Applikationen unter die Lupe genommen – und dabei eine Reihe eklatanter Sicherheitsmängel festgestellt. Getestet wurden die Apps dabei jeweils mit einem von NowSecure entwickelten, automatisierten App-Sicherheits-Testsystem auf einem physischen Device.

Probleme der Mobile Sicherheit im Überblick

Bei der Analyse von Mobile-Applikation wurde nach dem SCAN-Prinzip vorgegangen, das sich aus den Bereichen System, Configuration, App und Network zusammensetzt. Die Ergebnisse des daraus folgenden Berichts sind eindeutig: So beinhalten knapp ein Viertel der Apps mindestens ein, oft jedoch mehrere als „High Risk“ eingestufte Sicherheitsmängel.

Zudem sind 35 Prozent aller Kommunikationsvorgänge, die von Mobile Devices aus gesendet werden, nicht verschlüsselt. Business-Applikationen sind in vielen Fällen sogar noch unsicherer als andere Apps; außerdem sind Gaming-Apps deutlich häufiger von High-Risk-Schwachstellen betroffen.

System-Probleme

Laut Google CEO Sundar Pichai nutzten im letzten Jahr gut 1,4 Millarden User ein Android-Device – sprich, acht von zehn Smartphones laufen mit einer Version des Android-Betriebssystems; aktuell ist Android 4.4.2 die weitverbreitetste OS-Version. Wenig verwunderlich ist da, dass besonders viele Angriffe auf Android-Devices abzielen: So sind knapp 82 Prozent aller Android-Devices bei mindestens einem der 25 von der Vulnerability Test Suite for Android getesteten Android-OS-Mängel angreifbar. Problematisch ist dabei vor allem, dass oft viel Zeit zwischen dem Entdecken einer Sicherheitslücke und dem Ausspielen von entsprechenden Patches an die User vergeht:

Patches can take many months or more than a year to make their way to users‘ devices.

Doch auch bei iOS-Devices ist man vor Schwachstellen im System nicht gefeit. So gab es in 2015 ganze 375 Schwachstellen in Apples Mobile-Betriebssystem – also knapp dreimal mehr Schwachstellen als etwa in Android-Devices (130 Sicherheitslücken). Immerhin nutzen gut 71 Prozent der User bereits iOS 9.2, während der Anteil von Legacy-iOS-Versionen im Vergleich zur Versions-Fragmentierung auf Android-Geräten eher gering ist.

Konfigurations-Probleme

Neben Schwachstellen des Betriebssystems bietet auch eine falsche Konfiguration von Mobile Devices durch den User eine Angriffsmöglichkeit für Cyberkriminelle. So nutzen etwa 43 Prozent der Mobile-User keinen Passcode, Pin oder Entsperrungsmuster, um ihr Gerät vor nicht autorisierten Zugriffen zu schützen. Auch andere Konfigurations-Issues wie Verschlüsselungseinstellungen, das Aktivieren von USB-Debugging und die Installation von Apps von unbekannten Quellen können die Device-Sicherheit  negativ beeinflussen.

Netzwerk-Probleme

Was zwar einer der größten Vorteile von Mobile Devices ist, ist gleichzeitig eine ihre größten Schwachstellen: die kontinuierliche Anbindung an WiFi- und mobile Netzwerke. Die Analyse von NowSecure zeigt, dass jeden Monat gut die Hälfte aller Geräte mit einem unsicheren/ungeschützten WiFi-Netzwerk verbunden wird. Dadurch werden Devices schnell für Datenverlust und -Manipulation angreifbar; zudem trägt auch die Verteilung von Daten über unverschlüsselte Netzwerkverbindungen zur Gefährdung bei.

App-Probleme

Apps bieten das größte Gefahrenpotential für die Sicherheit von Mobile Devices. In den über 400.000 getesteten Apps im Google Play Store weist knapp ein Viertel mindestens einen High-Risk-Sicherheitsmangel auf; gut elf Prozent der Apps verteilen sensitive Daten über das Netzwerk und spielen so etwa auch Social-Engineering-Vorgängen in die Hände.

High-Risk-Probleme in einer von vier Mobile-Apps

Vor allem drei Problembereiche stechen bei der Analyse von App-Schwachstellen ins Auge: Daten-Leaks von sensitiven Daten, Netzwerk-Probleme und Dateisystem-Probleme. Dabei wurden in der Analyse insgesamt 16.036 High-Risk-Probleme innerhalb der beliebtesten Apps gefunden – sprich in Apps, die jeweils mehr als eine Million Mal heruntergeladen wurden. Je nach App-Kategorie gibt es dabei jedoch einige Unterschiede, die die nachfolgende Tabelle zusammenfasst:

Business Finanz-Apps Spiele Shopping Social
  • 5.104 Apps wurden getestet
  • Mindestens eine High-Risk-Schwachstelle in 27,6 Prozent der Business-Apps
  • Wahrscheinlichkeit, dass Business-Apps Usernames oder Passwörter leaken, ist dreimal höher als bei „normalen“ Apps
  • 5.201 Apps wurden getestet
  • Mindestens eine High-Risk-Schwachstelle in 16,9 Prozent der Finanz-Apps
  • Damit sind die Finanz-Apps meist sicherer als Apps anderer Kategorien
  • Dateisystem-Probleme sind die größte Schwachstelle in Finanz-Apps
  • Insgesamt 56.964 Gaming-Apps wurden getestet
  • Durchschnittlich installieren User 5,2 Spiele-Apps auf ihrem Gerät
  • Wahrscheinlichkeit von High-Risk-Schwachstellen in Gaming-Apps ist 1,5 mal höher als bei anderen Apps
  • Dateisystem-Probleme in 17,1 Prozent der Spiele-Apps
  • 32,8 Prozent der Apps in der Spiele-Kategorie lassen sensitive Daten durchsickern
  • Wahrscheinlichkeit von Netzwerk-Problemen ist neunmal höher als bei anderen Apps
  • 2.947 Apps wurden getestet
  • Wahrscheinlichkeit von High-Risk-Schwachstellen ist 1,5 mal höher als bei anderen Apps
  • 24,8 Prozent der Apps in dieser Kategorie haben Dateisystem-Probleme
  • 4.503 Apps wurden getestet
  • Mindestens eine High-Risk-Schwachstelle in 30,5 Prozent aller Social-Apps gefunden
  • Username-Leaks sind 4,1 mal, Password-Leaks 3,8 mal und E-Mail-Adressen-Leaks 4,7 mal wahrscheinlicher als bei anderen Apps

Damit wird deutlich, dass vor allem Gaming- und Social-Apps anfällig für Schwachstellen sind. Angesichts der Tatsache, dass gerade Applikationen aus diesen Kategorien von Mobile-Usern genutzt werden, ist die Verbesserung der Mobile-App-Sicherheit enorm wichtig – und hier besteht bei vielen Unternehmen großer Nachholbedarf.

Lesen Sie dazu auch: 6 Mobile-Security-Risiken und was Unternehmen dagegen tun können

Dementsprechend sollten sie sich intensiv mit den Möglichkeiten zur Vermeidung von Schwachstellen beschäftigen, findet auch das Analyse-Team von NowSEcure:

Enterprise IT and security teams should take data points such as these into consideration as they develop and manage their mobile security strategies.

Mehr Informationen dazu bietet der vollständige Bericht, der auf der Unternehmenswebsite zur Ansicht zur Verfügung steht.

Aufmacherbild: Smartphone Mobile Security von Shutterstock / Urheberrecht: canbedone

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -