HP Fortify entdeckt in 90 Prozent aller Apps Sicherheitslücken

MobileMobile AppsMobile OSSicherheitSicherheitsmanagement
Apps auf Smartphone (Bild: Shutterstock / Oleksiy Mark)

Untersucht wurden 2107 Apps für iOS von 601 Herstellern. Die HP-Tochter stuft entsprechende Android-Apps jedoch als ebenso anfällig ein. Zahlreiche Apps setzen keine Verschlüsselung ein und schützen Nutzerdaten nicht angemessen.

HP Fortify, ein Hewlett-Packard-Tochterunternehmen, hat mit Hilfe seiner Analysesoftware Fortify On Demand for Mobile 2107 Apps von 601 Herstellern auf Schwachstellen überprüft. Dabei wurde in 90 Prozent aller Applikationen zumindest eine Anfälligkeit festgestellt. Bei den getesteten Anwendungen handelte es sich zwar ausschließlich um Apps für Apples mobiles Betriebssystem. Fortify ist jedoch der Überzeugung, dass die entsprechenden Android-Pendants ähnlich anfällig sind.

apps-smartphone-shutterstock-oleksiy-mark-800

Die entdeckten Sicherheitslücken unterteilt das HP-Tochterunternehmen in vier Klassen. 86 Prozent der Apps schützen der Auswertung zufolge private Anwenderdaten wie Adressbücher nicht ausreichend vor unerlaubten Zugriffen. Weitere 86 Prozent der analysierten Applikationen enthielten zudem Schwachstellen, die Pufferüberläufe oder die Offenlegung von Verzeichnissen ermöglichten, da erforderliche Schutzmaßnahmen nicht umgesetzt worden sind.

HP Fortify bemängelt außerdem, dass 75 Prozent der getesteten Apps Daten nicht verschlüsseln, bevor sie diese auf einem Smartphone oder Tablet ablegen. Dadurch würden Dokumente, Chat-Protokolle und selbst Passwörter im Klartext gespeichert. Eine Chiffrierung käme bei 18 Prozent der Programme auch dann nicht zum Einsatz, wenn sie Daten über ein Netzwerk transportieren. Bei ebenfalls 18 Prozent sei die SSL-Verschlüsselung fehlerhaft implementiert. Infolgedessen sei es etwa über ein offenes WLAN-Netz möglich, Informationen abzugreifen.

Fortify-Manager Mike Armistead räumte im Gespräch mit ZDNet.com ein, dass 71 Prozent der Schwachstellen auf serverseitigen Problemen der Apps basieren. Viele davon – wie SQL Injection und Cross-Site-Scripting – seien weit verbreitet. Dies habe ernsthafte Konsequenzen. Zudem sei es in den meisten Fällen möglich, die Fehler zu beheben, sobald sie bekannt seien.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen