Deutsche Forscher zeigen neue Ansätze für mehr App-Sicherheit

ForschungInnovationMobileMobile AppsMobile OSSicherheit
Smartphone-Apps (Bild: Shutterstock/Oleksiy-Mark)

Informatiker des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) haben eine Software entwickelt, mit der sich feststellen lässt, ob Apps auf dem Smartphone auf vertrauliche Daten zugreifen und wie sie damit umgehen. Bisher haben sie damit rund 23.000 Apps getestet. Ihr verbessertes Verfahren stellen sie auf der CeBIT vor.

Saarbrücker Informatiker haben eine Software entwickelt, die bösartige Apps frühzeitig entdecken kann. Sie untersucht dazu den Programmcode schwerpunktmäßig an Stellen, an denen die Apps auf personenbezogene Daten zugreifen oder diese versenden. Erkennt die Software einen Zusammenhang zwischen Zugriff und späterem Versand, meldet sie die entsprechenden Befehlen als verdächtig. Das Verfahren werden die Forscher des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) auf der diesjährigen CeBIT der Öffentlichkeit präsentieren (Halle 9, Stand E13).

Wisenschafkler der CISPA an der Universität des Saarlandes zeigen auf der CeBIT neue Ansätze für mehr App-Sicherheit (Bild: Universität des Saarlandes). (Bild: Universität des Saarlandes)
Doktoranden der Universität des Saarlandes zeigen auf der CeBIT neue Ansätze für mehr App-Sicherheit (Bild: Universität des Saarlandes).

Um einen funktionellen Zusammenhang zwischen Datenquelle und Empfänger zu erkennen, nutzen die Saarbrücker Forscher Methoden der Informationsflussanalyse. Damit die Software zwischen gutartigen und bösartigen Apps unterscheiden kann, lassen die Wissenschaftler sie vorab eine Liste verdächtiger Zugriffskombinationen auf Programmierschnittstellen lernen. Zusätzlich versorgen die Forscher sie mit Details bekannter Angriffe. „Es hilft unter anderem, die Telefonnummern von teuren Premiumdiensten zu kennen. Wird einer von diesen ohne Einwilligung des Anwenders angerufen, ist der Betrug offensichtlich“, sagt Erik Derr, Doktorand an der Informatik-Graduiertenschule der Universität des Saarlandes.

Das Verfahren ist allerdings rechenintensiv und benötigt viel Speicher. Die Software läuft daher auf einem eigenen Server. Aber auch dort benötigt sie für eine Analyse im Durchschnitt 25 Minuten pro App. Einsatzgebiet der Software wäre daher nicht auf dem Smartphone oder Tablet der Endanwender, sondern vielmehr beim Betreiber eines App-Marktplatzes.

“Man könnte die App auf dem Server analysieren und die Ergebnisse dann auf dem Smartphone anzeigen. Noch besser wäre es natürlich, diesen Prozess direkt in einen App Store zu integrieren“, erklärt Derr in einer Pressemitteilung. Die Saarbrücker Forscher sind eigenen Angaben zufolge bereits mit Amazon im Gespräch. “Google ist natürlich auch denkbar”, so Derr.

Die Forscher haben im Rahmen ihrer Arbeit bisher rund 23.000 Apps getestet. Auf diese Weise könnten auch Endanwender von diesem Ansatz profitieren. Sie können so eine Liste “sauberer” Apps erhalten oder alternativ bisher ungeprüfte Apps zur Prüfung einreichen.

Um den Schutz des Smartphones selbst kümmern sich die Informatiker aus Saarbrücken bereits seit längerem. Sie haben dafür die App SRT Appguard entwickelt und schon mehrfach verbessert. Mit ihr machen sie sich die Tatsache zunutze, dass in Java geschriebene Android-Apps in einer virtuellen Maschine laufen. Der Speicher dieser virtuellen Maschine ist auf Android für die ausgeführte App frei zugreifbar. Bevor eine App startet, durchsucht SRT Appguard den Speicher der virtuellen Maschine nach gefährlichen Funktionen. Diese leitet er in der virtuellen Maschine auf den Sicherheitsmonitor um. Der überwacht dann verdächtige Funktionsaufrufe und kann sie sogar blocken.

CeBIT Logo (Grafik: Deutche Messe AG)

Auch hierfür stellen die Saarbrücker Informatiker auf der CeBIT einige Neuerung vor. Künftig sollen nämlich mit der App auch Unternehmen auf einfache Weise dienstliche Bereiche auf den privaten, mobilen Endgeräten ihrer Angestellten einrichten und diese verwalten können. Dazu hat Philipp von Styp-Rekowsky, Doktorand an der Informatik-Graduiertenschule der Universität des Saarlandes und Forscher am CISPA, für Android adaptiert, was für Betriebssysteme von PCs unter den Begriffen “Application Virtualization” oder “Sandboxing” bekannt ist: Einen isolierten Bereich, innerhalb dessen jede Aktion eines Programmes keinerlei Auswirkung auf die äußere Umgebung hat.

Bisherige Methoden können laut Styp-Rekowsky eine kontrollierte Ausführung verdächtiger Apps nur garantieren, indem sie in das Betriebssystem eingreifen oder den Programmcode der Apps verändern. “Für den ersten Fall muss der Anwender eine spezielle Version des Betriebssystems aufspielen, im zweiten Fall betritt er eine rechtliche Grauzone und verliert sowohl die in der App gespeicherten Daten als auch die Möglichkeit, die Apps automatisch zu aktualisieren. “ Unerfahrene Anwender seien zudem mit beiden Maßnahmen überfordert. Im schlimmsten Fall machten sie ihr Gerät dadurch sogar unbrauchbar.

Der Sandbox-Ansatz umgehe diese Schwierigkeiten. “Der Installationsprozess für Apps ist der gleiche wie bisher. Der Anwender muss lediglich sicherstellen, dass er innerhalb der Sandbox geschieht”, sagt von Styp-Rekowsky. “Egal, ob bösartig oder nicht, Spiele, die Sie einfach nur zocken wollen, können Sie mit unserem Verfahren bedenkenlos herunterladen.”

Das Verfahren hilft zudem Unternehmen, sogenannte “Bring your own device”-Konzepte umzusetzen. “Mit der App kann jedes Unternehmen auf dem Gerät des Mitarbeiters einen dienstlichen Bereich einrichten, der sowohl die Interessen des Arbeitgebers als auch die des Arbeitnehmers schützt”, so der Saarbrücker Informatiker. Noch liegt die App zwar nur als Forschungs-Prototyp vor, sie soll aber in den kommenden Monaten bis zum marktreifen Produkt weiterentwickelt werden.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen