Sicherheitsrisiko HTML5-App? – Schwachstellen und Lösungsansätze für sicherere HTML5-Apps
Kommentare

Die Kombination aus JavaScript und HTML5 ist schon seit einiger Zeit die beliebteste Lösung für das Erstellen von Apps und Websites – insbesondere, weil die Ladegeschwindigkeit und Zuverlässigkeit immer mehr zunimmt und so für eine bessere User Experience sorgt. Ein besonders großer Vorteil von HTML5 ist, dass damit Apps für verschiedene Plattformen erstellt werden können und Entwickler nicht an eine Plattform gebunden sind.

Doch HTML5-Apps bieten nicht nur Vorteile. Vor allem den Sicherheitsaspekt sollte man als Entwickler beachten. Jaykishan Panchal beleuchtet, welche Sicherheitsrisiken HTML5-Apps potenziell darstellen und erklärt, wie man sie sicherer gestalten kann.

Die größten Sicherheitsrisiken von HTML5-Apps

HTML5 und JavaScript erfreuen sich bei Entwicklern großer Beliebtheit, gerade, was das Designen von Mobile-Applikationen angeht. Das Problem dabei ist allerdings, dass solche Apps wie auch jede andere webbasierte Applikation ein gewisses Sicherheitsrisiko mit sich bringt und Entwickler darum die richtigen Sicherheitsmaßnahmen ergreifen müssen, um die gespeicherten Daten und die Kommunikation des Users zu schützen.

Doch wo liegen überhaupt die größten Sicherheitsrisiken einer HTML5-App? Da wäre zum einen die Gefahr durch schadhaften Code, der durch Entwicklungsfehler, über Metadaten oder per QR-Code automatisch über Bluetooth, Wi-Fi oder Textnachrichten gesendet und ausgeführt wird. Er sorgt dafür, dass sensible Daten gesammelt und das Device so für Angreifer zugänglich gemacht wird.

Gleichzeitig kann solcher Code dafür sorgen, dass ungewünschte Aktionen durchgeführt werden, auf die der User keinen Einfluss hat. So kann der Datenverbrauch und die Kosten in die Höhe getrieben oder gar das komplette Device lahmgelegt werden. Es ist daher besonders wichtig, dass man als Mobile-App-Entwickler auf die Auswahl der richtigen APIs achtet, um solche Sicherheitslücken zu vermeiden.

Middleware und sorgloser Umgang mit der Privatsphäre

Auch Middleware ist ein großes Problem – und fast jede HTML5-App wird mithilfe eines Middleware-Frameworks erstellt, um sie cross-plattform bereitzustellen. Allerdings ist diese Middleware anfällig für sogenannte XSS-Code-Injections, weil sie sowohl Daten als auch Code akzeptieren und letzteren sogar automatisch ausführen. Gerade auf Mobile Devices ist die Gefahr umso größer, weil die meisten Apps die Erlaubnis benötigen, auf Kontaktlisten, Standortdaten und Kameras zuzugreifen.

Eine der beliebtesten Middlewares ist PhoneGap – und gleichzeitig auch eine anfälligsten. Fast die Hälfte aller verfügbaren Plug-ins seien laut einer Studie angreifbar und könnten Daten und Code aus externen Quellen akzeptieren und ausführen, inklusive schadhaftem Code.

Doch nicht nur die Apps selbst setzen den User Sicherheitsrisiken aus; meist ist es der User selbst, der sich durch sorglosen Umgang mit seiner Privatsphäre angreifbar macht. Vor allem In-App-Käufe sind gefährlich, weil hier nicht nur die E-Mail-Adresse oder Telefonnummer gesammelt wird, sondern oft auch sensible Daten wie Bankdetails hinterlegt werden. Diese werden so leicht von Third-Party-Parteien gesammelt und im schlimmsten Fall missbraucht.

Sicherheitsrisiko HTML5-App – und keine konkrete Lösung

Angesichts des durchaus vorhandenen Sicherheitsrisikos von HTML5-Apps stellt man sich natürlich die Frage: Wie kann man seine App sicherer machen? Eine konkrete Lösung gibt es leider nicht, stattdessen muss der Umgang mit XSS überdacht werden. So sollten Code und Daten gefiltert werden und die Berechtigungen für nicht vertrauenswürdigen Code eingeschränkt oder widerrufen werden. Genauso sollte Input von unzuverlässigen Quellen getaggt und von der Ausführung abgehalten werden.

Grundsätzlich müssen sich Entwickler laut Panchal auch mit den kritischsten Sicherheitsrisiken in der Welt der Mobile-Apps vertraut machen und auf eine richtige Designstrategie achten – sprich, keine sensiblen Daten wie Passwörter, Tokens oder Sicherheitsprofile auf dem Server zu speichern.

Dazu sagt Jaykishan Panchal:

Cross-platform applications are one of the holy grails of mobile app development, but never compromise on security issues and user experience. One way of achieving this is by focusing on the integration between the app, its cloud platform-specific features and remote authentication services and combine them with security best practices applicable for web development.

Aufmacherbild: Slippery floor surface warning sign and symbol.Concept photo danger. von Shutterstock / Urheberrecht: Monakhova Irina

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -