Bremer Forscher nennen zwei wesentliche Schwachstellen in Android-Apps
Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und deren Kommunikationsverhalten und Software-Code analysiert. Dabei wurden vor allem zwei immer wieder auftauchende Probleme identifiziert: zu weitreichende Berechtigungen und Lücken in der SSL-Verschlüsselung.
Laut TZI-Mitarbeiter Karsten Sohr fordern die Apps eine lange Liste von Berechtigungen, von denen viele gar nicht für die Funktionalität benötigt werden. Als ein Beispiel nennt er die App eines großen Konzerns, über die Nachrichten verbreitet werden. “Insgesamt 22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet.”
“Das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen” – ohne dass der Nutzer das bemerkt, wie Christian Liebig erklärt, der am TZI seine Masterarbeit über das Thema schreibt.
Das zweite, immer wieder entdeckte Einfallstor ist die unsaubere Implementierung der SSL- Verschlüsselung. “Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert”, so Sohr weiter.
Datenspionen reiche jedoch eine winzige Sicherheitslücke im Software-Code, um Java-Code einzuspeisen und das Smartphone zu übernehmen. “Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden”, so Liebig.
Ein Grund für das Problem sehen die TZI-Experten im Framework Cordova von Apache. Es kann von Programmierern ohne großen Aufwand für unterschiedliche App Stores angepasst werden, fordert aber standardmäßig viele Berechtigungen. “Wer Cordova einsetzt, muss den gesamten Software-Code sicher machen. Und er muss sich die Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der App unerlässlich sind”, fordert Liebig.
Um Entwicklern hier die Arbeit zu erleichtern, wird ebenfalls am TZI mit Förderung durch das Bundesministerium für Bildung und Forschung (BMBF) im zweijährigen Projekt “ZertApps” ein Analysetool entwickelt, das vorab Sicherheitslücken und Berechtigungen checkt. Daran beteiligt sind zudem das TZI-Spin-off Otaris Interactive Services als Koordinator, die Datenschutz Cert GmbH aus Bremen sowie SAP, das Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt und die Technische Universität Darmstadt.
Ziel ist der Prototyp einer Software für Unternehmen, die Apps automatisch auf Sicherheitslücken untersucht. “Oben kommt eine App zur Analyse rein und unten kommt eine Liste mit möglichen Problemen wieder heraus”, sagt TZI-Mitarbeiter Bernhard Berger aus der Arbeitsgruppe Softwaretechnik von Professor Rainer Koschke.
Ähnliche Probleme wie die Bremer Forscher jetzt bei Android-Apps hatte bereits im November 2013 das HP-Tochterunternehmen Fortify bei Apps für iOS festgestellt. Damals wurden über 2100 Apps von gut 600 Herstellern untersucht. In 90 Prozent aller Applikationen wurde zumindest eine Schwachstelle gefunden. Fortify äußerte damals bereits die Überzeugung, dass eine derartige Untersuchung bei Android-Apps ähnlich ausfallen würde.
86 Prozent der Apps schützen der Fortify-Auswertung zufolge private Anwenderdaten nicht ausreichend. Weitere 86 Prozent enthielten zudem Schwachstellen, die Pufferüberläufe oder die Offenlegung von Verzeichnissen ermöglichten, da erforderliche Schutzmaßnahmen nicht umgesetzt worden sind. 75 Prozent der getesteten Apps verschlüsseln Daten nicht, bevor sie diese auf einem Smartphone oder Tablet ablegen. Chiffrierung käme bei 18 Prozent der Programme auch dann nicht zum Einsatz, wenn die Daten über ein Netzwerk transportiert werden. Bei ebenfalls 18 Prozent der von HP Fortify getesteten iOS-Apps war die SSL-Verschlüsselung fehlerhaft implementiert.