Sicherheit: Die Top-5-Schwachstellen bei mobilen Anwendungen

Die Anzahl der Schwachstellen in mobilen Anwendungen steigt. Arbeiten IT-Abteilungen und Anwender zusammen, erhöht sich die Sicherheit.

Dieser Artikel behandelt

MDM

ÄHNLICHE THEMEN

Mobil-Geräte sind Gegenstand vieler Diskussionen zum Thema Sicherheit. Oft sind es aber eher die mobilen Anwendungen,...

die als Angriffsvektoren dienen.

Schlechte Praktiken der Daten-Speicherung, Schadsoftware, Sideloading (also das Beziehen von Anwendungen aus nicht-offiziellen Quellen) und fehlende Verschlüsselung tragen allesamt zur einer erhöhten Angreifbarkeit mobiler Anwendungen bei. Es ist deshalb wichtig, dass die Anwender die Best Practices zum Herunterladen sowie zur Vergabe von Berechtigungen für Apps kennen. Zudem sollte die IT-Abteilung dafür sorgen, dass die Benutzer Antiviren-Programme auf ihren Geräten haben.

Schlechte Praktiken bei der Datenspeicherung

Eine der Haupt-Ursachen für Schwachstellen im Bereich mobiler Anwendungen besteht darin, dass unerfahrene Entwickler unsichere Vorgehensweisen zur Speicherung von Daten wählen. Datenbanken wie zum Beispiel SQLite erleichtern die kompakte Speicherung von Daten auf einem lokalen Gerät. Programmierer können solche Daten damit jedoch in Form von unverschlüsseltem Text oder im lesbaren XML-Format hinterlegen. Dies macht es leicht, den Zugriff auf die Daten ihrer Anwendung zu erlangen.

Um auf Daten zuzugreifen, die auf einem ungesicherten Smartphone mit einer schlecht geschriebenen App gespeichert sind, braucht es nicht viel: Man muss dazu nur die Datei extrahieren, die zu der Anwendung gehört - und dann passende Abfragen starten. Diese Vorgehensweise liefert Ihnen alles, was Sie über die Daten, die in der Anwendung gespeichert sind, wissen wollen. Das ist besonders dann heikel, wenn die Datenbank sich mit einem Backend-System verbindet. Aufgrund dieser Schwachstellen mobiler Anwendungen sollten sensible Daten grundsätzlich auf Geräte-Ebene verschlüsselt werden. Das Gleiche gilt für externe Verbindungen.

Schadsoftware

Die Schwächen von mobilen Android-Anwendungen haben sich mittlerweile zu einem Problem entwickelt. Dies liegt zum Teil am offenen Format von Google Play. Zudem beziehen Nutzer Apps auch gern aus nicht offiziellen Quellen (Sideloading) und unterlaufen so jegliche Kontrollen in Bezug auf App-Sicherheit. Als Reaktion auf Schadsoftware hat Google den Google Bouncer bereitgestellt. Trotzdem ist Google Play nach wie vor nicht vollständig vor Apps geschützt, die mit Schadsoftware verseucht sind. Entwickler von Malware für Mobil-Anwendungen zerlegen diese in Stücke, um die Erkennung zu erschweren. Zudem verwenden sie die Namen populärer Anwendungen, um die Anwender so zum Download ihrer Schadsoftware zu verleiten.

Hinzu kommen inkonsistente Updates und Patches für das Android-Betriebssystem. Man kann sich nicht darauf verlassen, dass sich Android selbständig und rechtzeitig aktualisiert, denn Aktualisierungen werden bei allen Geräten außer Google Nexus von den Mobilfunk-Providern gesteuert. Dies stellt eine deutliche Erschwernis dar, den Schutz von Android-Geräten vor Angriffen auf dem aktuellen Stand zu halten.

Anti-Malware-Anwendungen, die vor den Schwachstellen mobiler Anwendungen schützen können, sind kostenlos oder als kostenpflichtige Unternehmensversionen erhältlich. Sie sollten Ihre Mitarbeiter dazu verpflichten, zumindest irgendeine Art von Anti-Malware auf ihren Android-Geräten zu verwenden. Unglücklicherweise erhalten Android-Anwendungen zum Schutz vor Malware nicht denselben weitgehenden System-Zugriff wie unter Windows. Die Sandbox, in der sie betrieben werden, erlaubt nur einen relativ oberflächlichen Schutz vor Schadsoftware.

Unberechtigter Zugriff

Das Beste, was Sie zum Schutz vor Schwachstellen in mobilen Android-Applikationen und vor Schadsoftware tun können, ist das Schulen der Benutzer im Setzen der korrekten Zugriffsberechtigungen nach der Installation einer mobilen Anwendung. Für jede Anwendung ist eine Zustimmung durch den Benutzer erforderlich, bevor diese auf andere Daten oder Anwendungen auf dem Android-Gerät zugreifen darf. Man kann Anwender darin schulen, nicht einfach irgendeinen seltsamen Anhang einer E-Mail zu öffnen. Genauso sollten sie Vorsicht walten lassen, wenn es um Anfragen von Apps für den Zugriff auf Daten geht, die sie eigentlich gar nicht benötigen.

Die Schwachstellen mobiler Anwendungen sind allerdings nicht nur bei Android-Apps zu finden. So wurde eine mobile Anwendung mit dem Namen Path, die einen neuen Weg zur Kommunikation mit Freunden bot, allgemein für ihre fantastische Benutzer-Oberfläche gelobt. Später jedoch wurde beim Mitschneiden der Netzwerk-Aktivitäten dieser App entdeckt, dass sie sämtliche Kontakt-Listen auf ihre Server lud. In der iOS-Version dieser Anwendung wurde dafür nicht nach der entsprechenden Erlaubnis gefragt. Path musste sich für die unberechtigte Speicherung von personenbezogenen Daten seiner Anwender entschuldigen.

Viele Benutzer sind sich nicht darüber im Klaren, wie wertvoll ihre Kontakt-Daten sind. Außerdem verschweigen die Nutzungsbedingungen für die jeweilige App häufig die Wahrheit über den Zugriff auf persönliche Daten. Der Path-Fall war ein Beispiel für übereifrige Entwickler, denen es letztlich nur darum ging, mehr Benutzer-Freundlichkeit zu bieten. Aber ein Anwendungsentwickler mit einer weniger ethischen Einstellung könnte dieselben Kontakt-Daten für Spam, Marketing oder sogar für Angriffe verwenden.

Fehlende Verschlüsselung

Auch Anwendungen, die keine Verschlüsselung unterstützen, können Probleme bereiten. Die mobile App von LinkedIn übertrug beispielsweise lokale Kalender-Daten an LinkedIn-Server, als die Website eine neue Funktion zur Kalender-Integration bereitstellte. Sämtliche dieser Daten wurden als unverschlüsselter Text über das Netzwerk und das Internet übertragen, so dass praktisch jeder sie hätte mitlesen können. Einen ähnlichen Vorfall gab es auch in Zusammenhang mit den Kontakt-Daten in der mobilen LinkedIn-Anwendung.

Es besteht die Hoffnung, dass die Entwickler mobiler Anwendungen zukünftig Frameworks zur Verschlüsselung der Daten ihrer Anwender verwenden. Aber Garantien gibt es dafür nicht. Und es ist nahezu unmöglich, derlei Details herauszufinden, wenn der App-Entwickler nicht transparent damit umgeht oder keine vollständige Analyse durchgeführt wird.

Datenlecks bei der Synchronisierung

Bei Anwendungen, in denen Benutzer Daten mit einer Cloud synchronisieren, sind zumeist Datenlecks das größte Problem. So wurde Dropbox Opfer eines Passwort-Diebstahls, wodurch eine Vielzahl von Benutzer-Konten für einen Hacker offen zugänglich war. Glücklicherweise beschränkten sich die Folgen in diesem Fall darauf, dass einige Benutzer Spam erhielten. Andere Anwendungen nutzen jedoch die Vorteile der Dropbox-APIs, um Daten zwischen Geräten und sogar Diensten zu synchronisieren. Ein Anwender könnte seine Daten so einem Sicherheitsproblem von Dropbox aussetzen, ohne dies überhaupt zu bemerken.

Sie haben keinen Einfluss auf die Schutz-Maßnahmen eines Anbieters, selbst dann nicht, wenn seine Sicherheitsrichtlinien offiziell im Einklang mit geltenden Best Practices stehen. Bei Sicherheitsvorfällen oder Passwort-Problemen verlassen sich diese Dienste oft auf eine Verifikation per E-Mail. Ein Reset-Link zu einem Webmail-Konto wie GMail oder Hotmail gilt in den meisten Unternehmensumgebungen jedoch nicht als hinreichend sicher: Wenn der Zugang zu einem solchen Mail-Dienst geknackt wird, ist die Sicherheit der synchronisierten Daten nicht mehr gewährleistet.

Sorgen Sie deshalb dafür, dass die Benutzer nicht für jede App oder jeden Dienst dasselbe Passwort verwenden. Stellen Sie sicher, dass sie nach der Regel „Ein Kennwort pro Seite" verfahren, um die Schwachstellen mobiler Anwendungen möglichst folgenarm zu halten. Falls möglich, sollten Sie Benutzern auch davon abraten, sensible Daten in Cloud-Diensten zu speichern, über die Ihre IT-Abteilung keine Kontrolle hat. Stellen Sie stattdessen ein System zur Verfügung, das sich für den Unternehmenseinsatz eignet und lokale Eingriffe ermöglicht.

Artikel wurde zuletzt im November 2012 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Mobile-Device-Management (MDM)

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close