HP Fortify entdeckt in 90 Prozent aller Apps Sicherheitslücken
HP Fortify, ein Hewlett-Packard-Tochterunternehmen, hat mit Hilfe seiner Analysesoftware Fortify On Demand for Mobile 2107 Apps von 601 Herstellern auf Schwachstellen überprüft. Dabei wurde in 90 Prozent aller Applikationen zumindest eine Anfälligkeit festgestellt. Bei den getesteten Anwendungen handelte es sich zwar ausschließlich um Apps für Apples mobiles Betriebssystem. Fortify ist jedoch der Überzeugung, dass die entsprechenden Android-Pendants ähnlich anfällig sind.
Die entdeckten Sicherheitslücken unterteilt das HP-Tochterunternehmen in vier Klassen. 86 Prozent der Apps schützen der Auswertung zufolge private Anwenderdaten wie Adressbücher nicht ausreichend vor unerlaubten Zugriffen. Weitere 86 Prozent der analysierten Applikationen enthielten zudem Schwachstellen, die Pufferüberläufe oder die Offenlegung von Verzeichnissen ermöglichten, da erforderliche Schutzmaßnahmen nicht umgesetzt worden sind.
HP Fortify bemängelt außerdem, dass 75 Prozent der getesteten Apps Daten nicht verschlüsseln, bevor sie diese auf einem Smartphone oder Tablet ablegen. Dadurch würden Dokumente, Chat-Protokolle und selbst Passwörter im Klartext gespeichert. Eine Chiffrierung käme bei 18 Prozent der Programme auch dann nicht zum Einsatz, wenn sie Daten über ein Netzwerk transportieren. Bei ebenfalls 18 Prozent sei die SSL-Verschlüsselung fehlerhaft implementiert. Infolgedessen sei es etwa über ein offenes WLAN-Netz möglich, Informationen abzugreifen.
Fortify-Manager Mike Armistead räumte im Gespräch mit ZDNet.com ein, dass 71 Prozent der Schwachstellen auf serverseitigen Problemen der Apps basieren. Viele davon – wie SQL Injection und Cross-Site-Scripting – seien weit verbreitet. Dies habe ernsthafte Konsequenzen. Zudem sei es in den meisten Fällen möglich, die Fehler zu beheben, sobald sie bekannt seien.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de