[datensicherheit.de, 26.09.2014] 60 Prozent der beliebtesten iOS-Apps sind nicht für den Unternehmenseinsatz geeignet. Das haben Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie im Rahmen einer Testreihe herausgefunden. Die Forscher prüften die beliebtesten kostenlosen Apps aller Kategorien aus Apples App Store und fanden teils gravierende Sicherheitslücken in der Programmierung: Bei rund 25 Prozent der Apps verzichteten die Entwickler absichtlich auf Schutzfunktionen und 12,5 Prozent der Apps verschicken Daten an mehr als fünf Unternehmen, die mit der eigentlichen App-Funktion nichts zu tun haben. Bei zahlreichen Anwendungen stellten die Experten auch Verschlüsselungsmängel fest. „Dadurch können versierte Angreifer zum Beispiel PINs ausspionieren und im Falle von Banking-Apps auch finanziellen Schaden anrichten“, sagt Jens Heider, Leiter des Testlabors Mobile Sicherheit am Fraunhofer SIT in Darmstadt. Für ihre Untersuchung haben die Fraunhofer-Experten das Testwerkzeug Appicaptor genutzt, das große Mengen von Apps automatisiert auf Sicherheit prüft. Auf der IT-Sicherheitsmesse it-sa in Nürnberg stellen die Forscher vom 7. bis 9. Oktober die Testergebnisse vor.

© Fraunhofer

Viele iOS-Apps sind laut Fraunhofer SIT nicht sicher genug für den Unternehmenseinsatz

Zusätzlich zu den beliebtesten Apps testeten die Fraunhofer-Forscher 10.000 zufällig ausgewählte kostenlose Apps und damit mehr als doppelt so viel wie die Top200 aller Kategorien. Die meisten Sicherheitsmängel verursachen Programmierer, die absichtlich Schutzeinstellungen in der Programmierumgebung deaktivieren. Dadurch wird es für Angreifer wesentlich einfacher, Apps zu attackieren. In über 10 Prozent der Apps fanden die Fraunhofer-Tester eine besonders gravierende Sicherheitslücke: Hier ist die gesicherte Verbindung über SSL nicht korrekt implementiert. Über diese Lücke können Angreifer Zugangsdaten stehlen und den gesamten Datenverkehr zwischen der App und dem Handynutzer manipulieren. Dadurch können Angreifer zum Beispiel bei Banking-Apps Geld von Benutzerkonten stehlen. Auch in Sachen Datenschutz und Datensicherung fanden die Wissenschaftler gravierende Mängel. So verschickte eine App Informationen an 16 Unternehmen.

Für den Massentest der iOS-Apps nutzte das Fraunhofer-Testlabor das selbstentwickelte Testwerkzeug Appicaptor, das jede App auf verschiedene Standardkriterien überprüft und automatisch Testberichte mit einer entsprechenden Gesamteinschätzung generiert. Unternehmen können die Lösung nutzen, um Apps schnell und einfach zu bewerten. „Apple selbst kann nichts für das schlechte Abschneiden vieler Apps“, erklärt Jens Heider. „Die iOS-Plattform bietet gute Möglichkeiten, Apps mit hoher Sicherheitsqualität zu programmieren, aber das kommt in der Masse der Apps nicht an, weil viele Entwickler nicht sauber arbeiten.“

Unterstützt wurde die Produktisierung von Appicaptor durch CIRECS — Center for Industrial Research in Cloud Security. CIRECS ist ein gemeinschaftliches Vorhaben des Fraunhofer SIT und des House of IT, beide mit Sitz in Darmstadt. Gefördert wird das Projekt vom Hessischen Ministerium für Wirtschaft, Energie, Verkehr und Landesentwicklung (HMWEVL) mit Mitteln aus dem europäischen Fonds für regionale Entwicklung (EFRE). Unterstützt wurde die Entwicklung auch im Rahmen des BMBF-geförderten Kompetenzzentrums „European Center for Security and Privacy by Design“ (EC SPRIDE).

Weitere Informationen zum Thema:

datensicherheit.de, 17.09.2014
it-sa 2014: Datensicherheit als strategisches Ziel für Entscheider

datensicherheit.de, 17.09.2014
„Check your App“: Datenschutzprüfung für Applikationen

datensicherheit.de, 14.03.2014
Appicaptor: Start für App-Security-Test

Fraunhofer SIT –
Appicaptor Security Index

[datensicherheit.de, 14.03.2014] Welche Apps dürfen Angestellte gefahrlos auf Firmen-Tablets und Smartphones laden, ohne die Sicherheit des Unternehmens zu gefährden? Auf der CeBIT 2014 präsentiert das Fraunhofer-Institut für Sichere Informationstechnologie SIT mit Appicaptor ein Werkzeug zur automatisierten Sicherheitsprüfung von Apps, das Unternehmen einfach und unkompliziert nutzen können. Appicaptor ist ab sofort als Testdienst für Android- und iOS-Apps verfügbar. Unterstützt wurde die Produktisierung von Appicaptor durch CIRECS — Center for Industrial Research in Cloud Security.

Viele Apps enthalten Schwachstellen, die Angreifer ausnutzen können, um Zugriff auf Passwörter oder sensible Unternehmensdaten zu erhalten. Wenn Mitarbeiter auf firmeneigene Tablets und Smartphones wahllos Apps installieren, gehen Unternehmen deshalb hohe Risiken ein. Ob eine App die notwendigen Sicherheitsanforderungen erfüllt, können Unternehmen jetzt mit dem Appicaptor-Testdienst prüfen: Der Auftraggeber bestimmt Apps und Testkriterien. Appicaptor liefert Testberichte, mit deren Hilfe IT-Leiter entscheiden können, welche App sie für ihr Unternehmen zulassen. Da Apps oft aktualisiert werden, wiederholt Appicaptor den Test regelmäßig und sorgt so für einen aktuellen Wissenstand. „Appicaptor richtet sich vor allem an Unternehmen, die viele Apps prüfen möchten. Unser Testdienst funktioniert wie ein Abo“, sagt Jens Heider vom Testlab Mobile Security am Fraunhofer SIT. „Unternehmen können die Ergebnisse sofort nutzen, ohne vorher etwas installieren zu müssen.“

Appicaptor erstellt zu jeder Android- oder iOS-App einen individuellen Testbericht. Diese sind so angelegt, dass auch Menschen ohne tiefe IT-Sicherheitskenntnisse auf ihrer Basis qualifizierte Entscheidungen treffen können. Im nächsten Schritt können Unternehmen mit Appicaptor eine Whitelist unbedenklicher Apps erstellen, die Mitarbeiter auf ihren mobilen Endgeräten nutzen dürfen. Alternativ ist auch die Erstellung einer Blacklist mit verbotenen Anwendungen möglich, die nicht die IT-Sicherheitsrichtlinien des Unternehmens erfüllen. Weiterhin können Unternehmen selbst entwickelte Apps oder Apps aus firmeneigenen App-Stores regelmäßig automatisiert auf Schwachstellen testen.

Gefördert wurde die Entwicklung von Appicaptor im Rahmen des Projekts CIRECS — Center for Industrial Research in Cloud Security. CIRECS ist ein gemeinschaftliches Vorhaben des Fraunhofer SIT und des House of IT, beide mit Sitz in Darmstadt. CIRECS hat es sich zum Ziel gesetzt, wichtige und praktisch relevante IT-Sicherheitsfragen im Zusammenhanb mit der Nutzung von Cloud Computing zu behandeln. Dazu gehören auch Technologien, mit denen Anwender auf Cloud-Dienste und Infrastrukturen zugreifen. Im Rahmen des Projekts werden Cloud-Innovationen entwickelt, die Unternehmen IT-Sicherheit und Datenschutz bieten. CIRECS wird vom Hessischen Ministerium für Wirtschaft, Energie, Verkehr und Landesentwicklung (HMWEVL) mit Mitteln aus dem europäischen Fonds für regionale Entwicklung (EFRE) gefördert.

Weitere Informationen zum Thema:

Fraunhofer SIT
Appicaptor – Testwerkzeug für App-Sicherheit

CIRECS
Center for Industrial Research in Cloud Security

datensicherheit.de, 12.03.2014
Web-Tracking-Report 2014: Lagebericht des Fraunhofer SIT

[datensicherheit.de, 09.12.2013] Viele beliebte Apps der Android-Plattform haben einen schwerwiegenden Sicherheitsfehler, darunter auch Apps von Banken, Verlagen und anderen großen Organisationen. Das stellten Mitarbeiter des Testlabors am Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt fest. Angreifer können mithilfe der gefundenen SSL-Schwachstelle Zugangsdaten stehlen und damit zum Teil großen Schaden anrichten. Das Fraunhofer-Institut hat über 30 betroffene Unternehmen informiert, davon haben bislang 16 reagiert und die Sicherheitslücke geschlossen. Hierzu gehören unter anderem Apps von Amazon, Spiegel Online, Lidl oder der Volkswagen Bank. Eine Liste der Apps, für die Sicherheitsupdates zur Verfügung stehen, findet sich im Internet unter www.sit.fraunhofer.de/app-security-list.

© Fraunhofer SIT

Augen auf bei der Nutzung von Apps

Das entstandene Sicherheitsrisiko für die Nutzer ist abhängig vom jeweiligen Anwendungszweck: Bei mancher App droht lediglich die Manipulation der eigenen Foto-Bestände, im Falle einer Banking-App lassen sich hingegen die Zugangsdaten unter Umständen auch für unberechtigte Überweisungen oder andere Manipulationen des Bankkontos nutzen. Besonders gravierend kann das Risiko bei Apps sein, die Single-Sign-On z.B. zu den Google- oder Microsoft-Diensten nutzen, denn dort werden die Zugangsinformationen für eine Vielzahl von Diensten wie E-Mail, Cloud-Speicher oder Instant Messaging genutzt.

Bei der gefundenen Schwachstelle handelt es sich um eine fehlerhafte Verwendung des Secure Socket Layer-Protokolls (SSL). Das SSL-Protokoll dient zur Absicherung von Internet-Verbindungen, setzt aber die korrekte Prüfung der verwendeten Echtheitszertifikate der angesprochenen Server voraus. Diese Prüfung ist bei den betroffenen Apps jedoch falsch umgesetzt. „Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit“, sagt Dr. Jens Heider vom Fraunhofer SIT. Um an die Zugangsdaten zu gelangen, müssen Angreifer zum Beispiel nur die Kommunikation beim Surfen über WLAN manipulieren. Dies ist überall besonders leicht, wo die WLAN-Kommunikation unverschlüsselt ist, etwa an vielen öffentlichen Zugangspunkten wie in Flughäfen, Hotels und Restaurants. Gerade in diesen Situationen soll die SSL-Verschlüsselung die Kommunikation schützen.

„Die Lücke ist prinzipiell ganz einfach zu schließen“, sagt Heider. Er und sein Team haben die Hersteller bereits vor mehreren Wochen informiert und um die Beseitigung der Schwachstelle gebeten. Einige Unternehmen haben entsprechend reagiert, die Volkswagen Bank stellte sogar innerhalb eines Tages ein entsprechendes Sicherheitsupdate zur Verfügung. Jede neue Version prüfte das Testteam erneut. „Dort, wo die gefundene Lücke beseitigt ist, sollten Nutzer die entsprechende App einfach aktualisieren“, so Heider. Insgesamt raten die Experten des Fraunhofer SIT zu einer vorsichtigen Nutzung von Apps in öffentlichen WLAN-Bereichen. Aufgefallen ist die Lücke während des Pilotbetriebs für das neue Testframework „Appicaptor“, mit dem sich die Sicherheit von Apps automatisiert prüfen lässt. Die Fraunhofer-Experten testeten insgesamt 2000 Android-Apps.

Weitere Informationen zum Thema:

datensicherheit.de, 05.10.2013
Fraunhofer SIT zeigt Tool für automatisierte Sicherheitstests von Apps auf der it-sa 2013