Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Mobile Web-Apps bieten Einfallstore für Datenspione

11.02.2014
TZI-Wissenschaftler testen mobile Web-Apps von namhaften Software-Herstellern. Ergebnis: Schwachstellen eröffnen die Möglichkeit das Smartphone zu knacken. Vor allem fanden die Forscher zahlreiche Einfallstore aufgrund des fehlerhaften Einsatzes des Web-Frameworks Cordova.

Wie sicher sind mobile Web-Apps eigentlich und welches sind die zentralen Schwachstellen?

Dieser Frage sind Wissenschaftler des Technologie-Zentrum Informatik und Informationssicherheit (TZI) der Universität Bremen auf den Grund gegangen. Sie haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und dann zum einen das Kommunikationsverhalten und zum anderen den Softwarecode analysiert.

„Wir sind dabei immer auf das gleiche Problem in unterschiedlichen Variationen gestoßen. Die Programmierer machen Fehler beim Einsatz des sehr oft genutzten Web-Frameworks Apache Cordova (PhoneGap)“, sagt Karsten Sohr, Geschäftsführer des TZI-Leitthemas Softwarequalität und Informationssicherheit.

„Wer Cordova einsetzt, muss den gesamten Softwarecode sicher machen, eine unsichere Verbindung in der App reicht Datenspionen als Einfallstor. Und er muss sich Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der Web-App unerlässlich sind“, fügt Christian Liebig hinzu, der aktuell am TZI seine Masterarbeit über das Thema schreibt.

Einfallstor: Berechtigungen

Cordova (PhoneGap) kann ohne großen Aufwand für die verschiedenen App-Stores angepasst werden, fordert aber standardmäßig in älteren Versionen viele Berechtigungen. Oft passen das Programmierer nicht mehr an, obwohl ihre Apps viel weniger Berechtigungen für die Funktionalität benötigen. Ein prägnantes Beispiel, das die Wissenschaftler fanden, ist eine vermeintlich harmlose App, über welche ein großer Konzern Unternehmensnachrichten verbreitet.

„22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet. Doch das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung, zuzugreifen. Das Perfide dabei: Der Nutzer bemerkt davon nichts“, sagt Christian Liebig.

Einfallstore: Debug-Flag und Whitelist

Ein weiteres Einfallstor bei Cordova ist das sogenannte Debug-Flag. Es wird im Framework für die Entwicklung einer App genutzt, muss am Ende in der veröffentlichten Version aber wieder raus sein. „War es aber nicht bei einigen von uns untersuchten Apps“, erklärt Liebig. „Und bei eingeschaltetem Debug-Flag ist auch die SSL-Verschlüsselung deaktiviert, weil es dann einfacher ist, die App zu programmieren. Auch das wird vielfach in der finalen Version nicht wieder geändert.“ Probleme gibt es auch mit der sogenannten Whitelist, die festlegt, mit wem die App kommunizieren darf.

„Bei falsch konfigurierter Whitelist können Datenspione ausspionierte Daten unerlaubt an ein von ihnen kontrolliertes System übermitteln und so auf Smartphones zugreifen“, berichtet Liebig. Besonders problematisch ist die Tatsache, dass viele Cordova Apps anfällig gegenüber einer bekannten Android-Sicherheitslücke in der Schnittelle zwischen JavaScript und Java sind. Hierdurch kann ein Angreifer Code mit den Berechtigungen der angegriffenen App ausführen. Die benannten Einfallstore sind nur die markantesten bei Apps, die das Web-Framework Cordova nutzen. „Wir haben noch weitere und komplexere gefunden“, erläutert Karsten Sohr.

Checkliste mit Sicherheitsregeln für die Arbeit mit Cordova

Hilfestellung geben die Wissenschaftler allerdings auch. „Wir haben eine kurze Checkliste für die Arbeit mit Cordova erstellt. Wer sich an diese wichtigsten Regeln hält, erhöht die Sicherheit der mobilen Web-App signifikant“, sagt Christian Liebig.

Knut Köstergarten
Presse- und Öffentlichkeitsarbeit
TZI Uni Bremen
Fon: +49(0)421.3800353
Fax: +49(0)421.3800354

Knut Köstergarten | TZI Bremen
Weitere Informationen:
http://www.tzi.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Industrie 4.0: Fremde Eindringlinge im Unternehmensnetz erkennen
16.04.2018 | Fraunhofer-Institut für Sichere Informationstechnologie SIT

nachricht Die Thermodynamik des Rechnens
11.04.2018 | Eidgenössische Technische Hochschule Zürich (ETH Zürich)

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Software mit Grips

Ein computergestütztes Netzwerk zeigt, wie die Ionenkanäle in der Membran von Nervenzellen so verschiedenartige Fähigkeiten wie Kurzzeitgedächtnis und Hirnwellen steuern können

Nervenzellen, die auch dann aktiv sind, wenn der auslösende Reiz verstummt ist, sind die Grundlage für ein Kurzzeitgedächtnis. Durch rhythmisch aktive...

Im Focus: Der komplette Zellatlas und Stammbaum eines unsterblichen Plattwurms

Von einer einzigen Stammzelle zur Vielzahl hochdifferenzierter Körperzellen: Den vollständigen Stammbaum eines ausgewachsenen Organismus haben Wissenschaftlerinnen und Wissenschaftler aus Berlin und München in „Science“ publiziert. Entscheidend war der kombinierte Einsatz von RNA- und computerbasierten Technologien.

Wie werden aus einheitlichen Stammzellen komplexe Körperzellen mit sehr unterschiedlichen Funktionen? Die Differenzierung von Stammzellen in verschiedenste...

Im Focus: Spider silk key to new bone-fixing composite

University of Connecticut researchers have created a biodegradable composite made of silk fibers that can be used to repair broken load-bearing bones without the complications sometimes presented by other materials.

Repairing major load-bearing bones such as those in the leg can be a long and uncomfortable process.

Im Focus: Verbesserte Stabilität von Kunststoff-Leuchtdioden

Polymer-Leuchtdioden (PLEDs) sind attraktiv für den Einsatz in großflächigen Displays und Lichtpanelen, aber ihre begrenzte Stabilität verhindert die Kommerzialisierung. Wissenschaftler aus dem Max-Planck-Institut für Polymerforschung (MPIP) in Mainz haben jetzt die Ursachen der Instabilität aufgedeckt.

Bildschirme und Smartphones, die gerollt und hochgeklappt werden können, sind Anwendungen, die in Zukunft durch die Entwicklung von polymerbasierten...

Im Focus: Writing and deleting magnets with lasers

Study published in the journal ACS Applied Materials & Interfaces is the outcome of an international effort that included teams from Dresden and Berlin in Germany, and the US.

Scientists at the Helmholtz-Zentrum Dresden-Rossendorf (HZDR) together with colleagues from the Helmholtz-Zentrum Berlin (HZB) and the University of Virginia...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Internationale Konferenz zur Digitalisierung

19.04.2018 | Veranstaltungen

124. Internistenkongress in Mannheim: Internisten rücken Altersmedizin in den Fokus

19.04.2018 | Veranstaltungen

DFG unterstützt Kongresse und Tagungen - Juni 2018

17.04.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Grösster Elektrolaster der Welt nimmt Arbeit auf

20.04.2018 | Interdisziplinäre Forschung

Bilder magnetischer Strukturen auf der Nano-Skala

20.04.2018 | Physik Astronomie

Kieler Forschende entschlüsseln neuen Baustein in der Entwicklung des globalen Klimas

20.04.2018 | Geowissenschaften

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics