Aktuelles, Experten - geschrieben von cp am Freitag, März 7, 2014 18:53 - noch keine Kommentare
Schwachstellen-Scanner: Autokorrektur für Android-Entwickler
Die kostenlose Software ist ein Ergebnis des European Center for Security and Privacy by Design (EC SPRIDE)
[datensicherheit.de, 07.03.2014] Das Fraunhofer-Institut für Sichere Informationstechnologie hat einen Schwachstellen-Scanner für Android veröffentlicht, mit dem App-Entwickler SSL-Sicherheitslücken automatisch finden und schließen können. Die Software ist im Internet kostenlos unter herunterladbar und ist ein Ergebnis aus dem vom Bundesministerium für Bildung und Forschung geförderten European Center for Security and Privacy by Design (EC SPRIDE) in Darmstadt. Dort entstanden neue Testwerkzeuge für Android- und Java-Code, die sich direkt in die Entwicklungsumgebung integrieren lassen und neue Analyseverfahren nutzen. Diese ermöglichen es, auch schwer zu findende Fehler im Programm-Code äußerst schnell ausfindig zu machen. Werkzeuge und Verfahren stellt das Fraunhofer-Institut vom 10. bis zum 14. März auf der CeBIT in Hannover vor (Halle 9, Stand E40).
Viele Sicherheitslücken entstehen durch einfache Programmierfehler, die sich aufgrund der Komplexität heutiger Software-Produkte kaum vermeiden lassen. Oft besteht eine Software aus vielen Programm-Teilen, die von ganz unterschiedlichen Programmierern geschrieben wurden. Das Zusammenspiel der verschiedenen Teile ist für Menschen schon längst nur noch schwer nachvollziehbar. Deshalb nutzen Software-Unternehmen heute Testwerkzeuge, mit denen sich Programmcode automatisch prüfen lässt. Herkömmliche Schwachstellen-Scanner, die man auf dem eigenen Rechner betreiben kann, finden jedoch nur einfache Fehler. Um komplexere Sicherheitslücken im Programm-Code aufzuspüren, mussten Software-Unternehmen bislang den eigenen Code zum Beispiel von teuren Testdiensten aus Übersee analysieren lassen. Die Ergebnisse erhalten die Unternehmen jedoch erst zeitverzögert, wenn die Entwickler vielleicht schon mit ganz anderen Dingen beschäftigt sind.
Prof. Dr. Eric Bodden vom Fraunhofer SIT und sein Team am Cybersicherheitszentrum EC SPRIDE haben deshalb effiziente Analyse-Verfahren entwickelt und in Testwerkzeuge integriert. Diese neuen Schwachstellen-Scanner lassen sich auf einfachen Computern betreiben, aber sie sind mächtiger als die teuren Analysedienste und finden mehr komplexe Fehler in kürzerer Zeit. Die CodeScan-Werkzeuge der Darmstädter Forscher liefern die Ergebnisse zum Teil schon in Millisekunden. Möglich machen das neue Analyse-Verfahren, die auch komplexe Wechselwirkungen im Code schnell prüfen können. „Sichere Software-Entwicklung ist wie ein Labyrinth“, sagt Bodden, „es ist ganz leicht falsch abzubiegen, aber sehr schwer, den richtigen Weg zu finden. Deshalb nutzen die Unternehmen Testwerkzeuge, um möglichst schnell zum Ziel zu kommen. Mit herkömmlichen Testwerkzeugen können Entwickler aber gerade mal um die nächste Ecke schauen. Mit unseren Tools blicken sie zehn Ecken voraus.“ Die Analyseverfahren lassen sich auf unterschiedliche Programmiersprachen anwenden und auch für bestimmte Aufgaben optimieren.
Das aktuelle Analysewerkzeug unterstützt beispielsweise hochkomplexe Datenflussanalysen. Ein einfacheres, aber in der Praxis sehr relevantes Beispiel ist der jetzt veröffentlichte Scanner für SSL-Schwachstellen. Dabei handelt es sich um ein Eclipse-Plug-In, das Programmierer problemlos in typische Entwicklungsumgebungen integrieren können. Das Testwerkzeug hilft App-Entwicklern dabei, fehlerhafte Verwendungen des Secure Socket Layer-Protokolls (SSL) in Android Code zu finden und kann als Open-Source-Software kostenlos genutzt werden. Wie groß das SSL-Problem für Apps ist, zeigte sich im vergangenen Jahr, als das Fraunhofer SIT entsprechende Fehler in zahlreichen Apps entdeckte, die für die Nutzer zum Teil mit großen Risiken verbunden waren.
Weitere Informationen zum Thema:
datensicherheit.de. 05.03.2014
Forscher testen 10.000 Android-Apps auf mögliche Sicherheitsmängel
datensicherheit.de, 23.04.2013
SRT Appguard: Erfolgreiche Anti-Spionage-App
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren