Tausende iOS-Apps zu unsicher für den Einsatz in Firmen

MobileMobile AppsMobile OSSicherheit
Appicaptor (Bild: Fraunhofer SIT)

Einer Untersuchung des Fraunhofer SIT zufolge eignen sich 60 Prozent der 4600 populärsten kostenlosen iOS-Apps nicht für den Einsatz in Unternehmen. 20 Prozent der Apps attestieren die Security-Experten auffälliges Verhalten bei der Benutzerüberwachung. Ihre Ansicht nach verzichten App-Entwickler absichtlich auf Sicherheitsfunktionen.

Von den 4600 beliebtesten iOS-Apps sind 60 Prozent nicht für den Unternehmenseinsatz geeignet, bei einer zufällig ausgewählten Stichprobe von 10.000 kostenlosen iOS-Apps erwiesen sich sogar knapp über 66 Prozent als ungeeignet für den Einsatz in Firmen. Zu diesem Ergebnis kommen Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie SIT im Rahmen einer mit ihrem Test-Framework Appicaptor durchgeführten Versuchsreihe.

Tausende iOS-Apps zu unsicher für den Einsatz in Firmen (Grafik: Fraunhofer SIT)
Zahlreiche der vom Fraunhofer SIT getesteten 4600 populärsten iOS-Apps weisen gravierde Sicherheitsmängel auf (Grafik: Fraunhofer SIT).

Überprüft wurden zum einen die 4600 beliebtesten Apps aller Kategorien aus Apples App Store. Dabei fanden die Fraunhofer-Experten teilweise gravierende Sicherheitslücken in der Programmierung: Bei rund einem Viertel der Apps verzichteten die Entwickler laut dem Fraunhofer SIT absichtlich auf Schutzfunktionen. Jede achte App verschickt zudem Daten an mehr als fünf Unternehmen, die mit der eigentlichen App-Funktion nichts zu tun haben.

Bei zahlreichen Anwendungen stellten die Experten auch Verschlüsselungsmängel fest. Als solche kategorisierten sie Lücken im Verbindungsschutz, die dadurch entstehen, dass http- und HTTPS-Traffic zum selben Server gehen, Fehler bei der Implementierung von SSL sowie eine unsichere Verschlüsselung durch die Verwendung des ECB-Modus. Diese Nachlässigkeiten oder Versäumnisse fanden sich bei 12,4, 11,8 respektive 20,4 Prozent der untersuchten 4600 Top-iOS-Apps.

Die nicht korrekt implementierte Verbindung über SSL halten die Fraunhofer-Experten dabei für besonders schwerwiegend. “Über diese Lücke können Angreifer Zugangsdaten stehlen und den gesamten Datenverkehr zwischen der App und dem Handynutzer manipulieren. Dadurch können Angreifer zum Beispiel bei Banking-Apps Geld von Benutzerkonten stehlen”, teilen sie mit.

Das Fraunhofer SIT fand bei einer Stichprobe von 10.000 Gratis-Apps für iOS  zahlreiche Anwendungen mit absichtlich eingebauten Sicherheitsmängeln  (Grafik: Fraunhofer SIT)
Das Fraunhofer SIT fand bei einer Stichprobe von 10.000 Gratis-Apps für iOS zahlreiche Anwendungen mit absichtlich eingebauten Sicherheitsmängeln (Grafik: Fraunhofer SIT).

Zusätzlich zu den 4600 beliebtesten Apps für iOS testeten die Fraunhofer-Forscher auch 10.000 zufällig ausgewählte kostenlose Apps. Hier fallen die Testergebnissese tendenziell noch schlechter aus. Bedenklich ist zudem, dass laut Fraunhofer SIT die meisten Sicherheitsmängel darauf zurückzuführen sind, dass Entwickler Schutzeinstellungen in der Programmierumgebung absichtlich abschalten.

“Apple selbst kann nichts für das schlechte Abschneiden vieler Apps”, erklärt Jens Heider, Leiter des Testlabors Mobile Sicherheit am Fraunhofer SIT in Darmstadt. „Die iOS- Plattform bietet gute Möglichkeiten, Apps mit hoher Sicherheitsqualität zu programmieren, aber das kommt in der Masse der Apps nicht an, weil viele Entwickler nicht sauber arbeiten.“ Detaillierte Informationen zur Testreihe finden Interessierte auf der Website des Intsituts.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen