App-Security im Test

Vertrauen ist gut, eine Sicherheitsprüfung besser

Apps für Android haben häufig große Sicherheitsprobleme und bedeuten Risiken für Unternehmen. Da ist ein Test der App-Security eine gute Hilfe.

Fehlende oder falsch umgesetzte Verschlüsselung – das ist eines der häufigsten Probleme mit der Sicherheit von Android-Apps. Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben 10.000 der beliebtesten Android-Apps getestet und zum Teil gravierende Sicherheitslücken und Datenschutzverletzungen aufgedeckt.

Ein großer Teil (91%) der getesteten Apps nutzt eine Internetverbindung, ohne dass der Anwender im Einzelfall immer weiß, wozu diese Verbindung genutzt wird. Problematisch ist auch die Tatsache, dass ein Großteil der Apps gleich beim Start ungefragt persönliche Daten verschickt. Insgesamt stellte der Test Datenübertragungen an 4358 Server in der ganzen Welt fest – ohne Wissen und Zutun des Nutzers.

Weitere Sicherheitslücken: 69% der Apps nutzen keine Verschlüsselung, um diese Internetverbindung zu schützen. Doch auch eine sichere Verbindung ist nicht unbedingt vertrauenswürdig, denn die Sicherheit des Nutzers wird zudem durch unzureichend programmierte Apps bedroht. So schaltet ein gutes Viertel (26 %) der Apps die Prüfung des Serverzertifikats ab, so dass die Verbindung leicht angreifbar ist.

Für Unternehmen folgt daraus eine enorm wichtige Frage: Welche Apps dürfen die Mitarbeiter installieren, ohne die Sicherheit des Unternehmens zu beeinträchtigen? Die Antwort muss jeweils im Einzelfall durch einen Test herausgefunden werden. Doch das ist nicht einfach. Vor allem kleine und kleinste Unternehmen sind von einer solchen Aufgabe überfordert. Doch inzwischen gibt es mehrere Test-Frameworks zur automatisierten Sicherheitsüberprüfung von Apps:

Apps unter der Lupe

Das Framework Appicaptor stammt vom Fraunhofer-Institut für Sichere Informationstechnologien (Fraunhofer SIT). Die Apps werden in einer speziellen Server-Umgebung automatisch geprüft. Das Institut bietet diese Tests interessierten Unternehmen als Dienstleistung an. Das System erzeugt zu jeder App und zu jedem Betriebssystem einen individuellen Testbericht. Die Ergebnisse der automatischen Analyse fließen dabei in eine Datenbank ein, die jeweils bei neuen Versionen der App erweitert wird.

Die vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (Fraunhofer AISEC) entwickelte Testumgebung App-Ray verfolgt einen anderen Ansatz. Unternehmen können sie in ihre internen Appstores und in Lösungen für Mobile Device Management integrieren. Dies erlaubt eine automatische Analyse und Einschätzung der Sicherheit von beliebigen Android-Apps anhand zuvor definierter Kriterien. Außerdem speichert die Prüfsoftware alle Untersuchungsdaten, so dass genauere manuelle Untersuchungen folgen können.

Ein drittes Konzept verwirklicht das Verbraucherportal Checkyourapp des TÜV Rheinland. Es richtet sich an private und gewerbliche Nutzer, die sich vor der Installation einer App kostenfrei über deren Sicherheit informieren wollen. App-Entwickler oder Unternehmen können ihre App dort anmelden und prüfen lassen.

Bildquelle: Andrea Damm / pixelio.de

Links:

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok