Forscher testen 10.000 Android-Apps auf mögliche Sicherheitsmängel

Anwendungen senden Daten an Server, davon ein Viertel unverschlüsselt

[datensicherheit.de, 05.03.2014] Apps sollen Smartphone-Nutzer im privaten und beruflichen Alltag unterstützen. Das tun sie auch. Deshalb erfreuen sie sich fortwährend großer Beliebtheit. Doch häufig tun sie mehr, als den Helfer im Alltag zu spielen. Sie greifen auf Gerätefunktionen zu, sammeln Daten und schicken diese weiter. Dem Nutzer fehlt meist der Ein- und Überblick, was die Apps im Hintergrund anstellen – dabei kann dies die Sicherheit seines Geräts und seine Privatsphäre gefährden. Ein umfangreicher Test von 10.000 Apps zeigt, dass der bereits öffentlich gewordene Fall der datensammelnden Spiele-App nur die Spitze des Eisbergs bildet und die Sorge der Nutzer im Zusammenhang mit der Übernahme eines Messenger-Dienstes berechtigt ist.

Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben 10.000 der beliebtesten Android-Apps getestet und zum Teil gravierende Sicherheitslücken und Datenschutzverletzungen aufgedeckt. „Android als Betriebssystem ist auf dem Vormarsch und es gibt bereits heute fast eine Million Android-Apps, Tendenz rapide steigend. Mit dem Test der beliebtesten 10.000 wollten wir uns ein umfassendes Bild von den Mängeln der Apps machen.“, so Dr. Julian Schütte, Projektleiter für Mobile Sicherheit am Fraunhofer AISEC. Alle Apps sind mit dem Analyse-Werkzeug App-Ray, das vom Team um Dr. Schütte entwickelt wurde, analysiert worden. App-Ray unterzieht Apps einer vollautomatischen Analyse und deckt mögliche Sicherheitsmängel auf. Hierzu forscht das Fraunhofer AISEC an statischen und dynamischen Analyseverfahren, mit denen sich sowohl typische Programmierfehler als auch unerwünschte Datenflüsse erkennen lassen.

Starkes „Sendungsbewusstsein“

Ein wichtiges Ergebnis des Tests ist, dass mehr als 9000 (91%) der getesteten 10.000 Apps eine Berechtigung (Permission) für den Aufbau einer Internetverbindung vom Nutzer verlangen. Dieser muss bei der Installation der jeweiligen App dieser Anfrage zustimmen, ohne zu wissen, wozu diese Verbindung genutzt wird. Weit kritischer für den Nutzer ist dabei die Tatsache, dass ein Großteil der Apps diese Verbindungen nutzt, um gleich beim Start der App ungefragt persönliche Daten zu verschicken. Insgesamt stellte der Test Datenübertragungen an 4358 Server in der ganzen Welt fest – ohne Wissen und Zutun des Nutzers. „Der technisch nicht versierte Nutzer hat nach der Installation keine Möglichkeit, zu prüfen, welche Verbindungen die App nach draußen tatsächlich aufbaut und welche Daten übermittelt werden. Die Frage, was die App mit den Permissions genau macht, bleibt offen.“, so Dr. Schütte weiter. Dabei ist die Verbindung zum Internet für viele Apps notwendig (News, Social Networks), jedoch ist sie bei Anwendungen wie einer Taschenlampen-App für den Benutzer nicht immer nachvollziehbar. Des Weiteren stellten die Forscher fest, dass ca. 7000 Apps (69 %) unverschlüsselt mit der Außenwelt kommunizieren. 448 Apps sendeten eindeutige persönliche Daten wie die IMEI an Server im Netz. Der Nutzer hat in den wenigsten Fällen Einflussmöglichkeiten. So starten 1732 der getesteten Apps direkt beim Start des Geräts und agieren permanent im Hintergrund. Ebenfalls signifikant ist mit fast 50 Prozent (4917) die hohe Anzahl der Apps, die den Aufenthaltsort des Gerätes bestimmen können. 3930 lesen den Gerätestatus aus.

Die Sicherheit des Nutzers wird zudem durch unzureichend programmierte Apps bedroht. „So gibt ein gutes Viertel (26 %) der Apps zwar vor, eine sichere Verbindung zum Internet aufzubauen, schaltet aber die Prüfung des Serverzertifikats explizit ab, so dass die Verbindung leicht angreifbar ist.“

© Fraunhofer AISEC

Test von 10.000 Apps auf mögliche Sicherheirsmängel

App-Ray: Vollautomatische Sicherheitsanalyse

App-Ray ist eine Lösung für Unternehmen und ermöglicht eine vollautomatische Analyse und Einschätzung der Sicherheit von Android-Apps nach vorher festgelegten Kriterien. Dabei stellen die Unternehmen den Katalog der Untersuchungskriterien selbst zusammen, so dass Analysen mit App-Ray genau auf die unternehmensspezifischen Anforderungen hin zugeschnitten sind. „Die IT-Abteilung kann zum Beispiel festlegen, dass Apps bestimmte Daten nicht oder nur verschlüsselt versenden dürfen, was in der heutigen Zeit eine zunehmend wichtige Rolle einnimmt“, so Dr. Julian Schütte. Zusätzlich zu einer Einschätzung der Sicherheit einer App in Bezug auf die definierten Kriterien stellt App-Ray transparent detaillierte Untersuchungsdaten zur Verfügung, die von Entwicklern und Sicherheitsexperten als Basis für eine eingehendere manuelle Untersuchung verwendet werden können.

Weitere Informationen zum Thema:

App-Ray
Mobile App Security Scanning

datensicherheit.de, 07.10.2013
Fraunhofer AISEC stellt automatisierte Sicherheitsanalyse für Android-Apps vor