Aktuelles, Experten - geschrieben von cp am Freitag, September 26, 2014 17:44 - noch keine Kommentare
iOS-Apps: Viele nicht für den Unternehmenseinsatz geeignet
Entwickler verzichten absichtlich auf Sicherheitsfunktionen, obwohl iOS Möglichkeiten dafür bietet
[datensicherheit.de, 26.09.2014] 60 Prozent der beliebtesten iOS-Apps sind nicht für den Unternehmenseinsatz geeignet. Das haben Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie im Rahmen einer Testreihe herausgefunden. Die Forscher prüften die beliebtesten kostenlosen Apps aller Kategorien aus Apples App Store und fanden teils gravierende Sicherheitslücken in der Programmierung: Bei rund 25 Prozent der Apps verzichteten die Entwickler absichtlich auf Schutzfunktionen und 12,5 Prozent der Apps verschicken Daten an mehr als fünf Unternehmen, die mit der eigentlichen App-Funktion nichts zu tun haben. Bei zahlreichen Anwendungen stellten die Experten auch Verschlüsselungsmängel fest. „Dadurch können versierte Angreifer zum Beispiel PINs ausspionieren und im Falle von Banking-Apps auch finanziellen Schaden anrichten“, sagt Jens Heider, Leiter des Testlabors Mobile Sicherheit am Fraunhofer SIT in Darmstadt. Für ihre Untersuchung haben die Fraunhofer-Experten das Testwerkzeug Appicaptor genutzt, das große Mengen von Apps automatisiert auf Sicherheit prüft. Auf der IT-Sicherheitsmesse it-sa in Nürnberg stellen die Forscher vom 7. bis 9. Oktober die Testergebnisse vor.
Viele iOS-Apps sind laut Fraunhofer SIT nicht sicher genug für den Unternehmenseinsatz
Zusätzlich zu den beliebtesten Apps testeten die Fraunhofer-Forscher 10.000 zufällig ausgewählte kostenlose Apps und damit mehr als doppelt so viel wie die Top200 aller Kategorien. Die meisten Sicherheitsmängel verursachen Programmierer, die absichtlich Schutzeinstellungen in der Programmierumgebung deaktivieren. Dadurch wird es für Angreifer wesentlich einfacher, Apps zu attackieren. In über 10 Prozent der Apps fanden die Fraunhofer-Tester eine besonders gravierende Sicherheitslücke: Hier ist die gesicherte Verbindung über SSL nicht korrekt implementiert. Über diese Lücke können Angreifer Zugangsdaten stehlen und den gesamten Datenverkehr zwischen der App und dem Handynutzer manipulieren. Dadurch können Angreifer zum Beispiel bei Banking-Apps Geld von Benutzerkonten stehlen. Auch in Sachen Datenschutz und Datensicherung fanden die Wissenschaftler gravierende Mängel. So verschickte eine App Informationen an 16 Unternehmen.
Für den Massentest der iOS-Apps nutzte das Fraunhofer-Testlabor das selbstentwickelte Testwerkzeug Appicaptor, das jede App auf verschiedene Standardkriterien überprüft und automatisch Testberichte mit einer entsprechenden Gesamteinschätzung generiert. Unternehmen können die Lösung nutzen, um Apps schnell und einfach zu bewerten. „Apple selbst kann nichts für das schlechte Abschneiden vieler Apps“, erklärt Jens Heider. „Die iOS-Plattform bietet gute Möglichkeiten, Apps mit hoher Sicherheitsqualität zu programmieren, aber das kommt in der Masse der Apps nicht an, weil viele Entwickler nicht sauber arbeiten.“
Unterstützt wurde die Produktisierung von Appicaptor durch CIRECS — Center for Industrial Research in Cloud Security. CIRECS ist ein gemeinschaftliches Vorhaben des Fraunhofer SIT und des House of IT, beide mit Sitz in Darmstadt. Gefördert wird das Projekt vom Hessischen Ministerium für Wirtschaft, Energie, Verkehr und Landesentwicklung (HMWEVL) mit Mitteln aus dem europäischen Fonds für regionale Entwicklung (EFRE). Unterstützt wurde die Entwicklung auch im Rahmen des BMBF-geförderten Kompetenzzentrums „European Center for Security and Privacy by Design“ (EC SPRIDE).
Weitere Informationen zum Thema:
datensicherheit.de, 17.09.2014
it-sa 2014: Datensicherheit als strategisches Ziel für Entscheider
datensicherheit.de, 17.09.2014
„Check your App“: Datenschutzprüfung für Applikationen
datensicherheit.de, 14.03.2014
Appicaptor: Start für App-Security-Test
Fraunhofer SIT –
Appicaptor Security Index
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Sep 30, 2024 18:43 - noch keine Kommentare
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
weitere Beiträge in Branche
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
- NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko
- Frust in der IT-Abteilung: Erkenntnisse einer Sophos-Umfrage unter IT-Sicherheitspersonal
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren