Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Mobile Web-Apps bieten Einfallstore für Datenspione

11.02.2014
TZI-Wissenschaftler testen mobile Web-Apps von namhaften Software-Herstellern. Ergebnis: Schwachstellen eröffnen die Möglichkeit das Smartphone zu knacken. Vor allem fanden die Forscher zahlreiche Einfallstore aufgrund des fehlerhaften Einsatzes des Web-Frameworks Cordova.

Wie sicher sind mobile Web-Apps eigentlich und welches sind die zentralen Schwachstellen?

Dieser Frage sind Wissenschaftler des Technologie-Zentrum Informatik und Informationssicherheit (TZI) der Universität Bremen auf den Grund gegangen. Sie haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und dann zum einen das Kommunikationsverhalten und zum anderen den Softwarecode analysiert.

„Wir sind dabei immer auf das gleiche Problem in unterschiedlichen Variationen gestoßen. Die Programmierer machen Fehler beim Einsatz des sehr oft genutzten Web-Frameworks Apache Cordova (PhoneGap)“, sagt Karsten Sohr, Geschäftsführer des TZI-Leitthemas Softwarequalität und Informationssicherheit.

„Wer Cordova einsetzt, muss den gesamten Softwarecode sicher machen, eine unsichere Verbindung in der App reicht Datenspionen als Einfallstor. Und er muss sich Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der Web-App unerlässlich sind“, fügt Christian Liebig hinzu, der aktuell am TZI seine Masterarbeit über das Thema schreibt.

Einfallstor: Berechtigungen

Cordova (PhoneGap) kann ohne großen Aufwand für die verschiedenen App-Stores angepasst werden, fordert aber standardmäßig in älteren Versionen viele Berechtigungen. Oft passen das Programmierer nicht mehr an, obwohl ihre Apps viel weniger Berechtigungen für die Funktionalität benötigen. Ein prägnantes Beispiel, das die Wissenschaftler fanden, ist eine vermeintlich harmlose App, über welche ein großer Konzern Unternehmensnachrichten verbreitet.

„22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet. Doch das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung, zuzugreifen. Das Perfide dabei: Der Nutzer bemerkt davon nichts“, sagt Christian Liebig.

Einfallstore: Debug-Flag und Whitelist

Ein weiteres Einfallstor bei Cordova ist das sogenannte Debug-Flag. Es wird im Framework für die Entwicklung einer App genutzt, muss am Ende in der veröffentlichten Version aber wieder raus sein. „War es aber nicht bei einigen von uns untersuchten Apps“, erklärt Liebig. „Und bei eingeschaltetem Debug-Flag ist auch die SSL-Verschlüsselung deaktiviert, weil es dann einfacher ist, die App zu programmieren. Auch das wird vielfach in der finalen Version nicht wieder geändert.“ Probleme gibt es auch mit der sogenannten Whitelist, die festlegt, mit wem die App kommunizieren darf.

„Bei falsch konfigurierter Whitelist können Datenspione ausspionierte Daten unerlaubt an ein von ihnen kontrolliertes System übermitteln und so auf Smartphones zugreifen“, berichtet Liebig. Besonders problematisch ist die Tatsache, dass viele Cordova Apps anfällig gegenüber einer bekannten Android-Sicherheitslücke in der Schnittelle zwischen JavaScript und Java sind. Hierdurch kann ein Angreifer Code mit den Berechtigungen der angegriffenen App ausführen. Die benannten Einfallstore sind nur die markantesten bei Apps, die das Web-Framework Cordova nutzen. „Wir haben noch weitere und komplexere gefunden“, erläutert Karsten Sohr.

Checkliste mit Sicherheitsregeln für die Arbeit mit Cordova

Hilfestellung geben die Wissenschaftler allerdings auch. „Wir haben eine kurze Checkliste für die Arbeit mit Cordova erstellt. Wer sich an diese wichtigsten Regeln hält, erhöht die Sicherheit der mobilen Web-App signifikant“, sagt Christian Liebig.

Knut Köstergarten
Presse- und Öffentlichkeitsarbeit
TZI Uni Bremen
Fon: +49(0)421.3800353
Fax: +49(0)421.3800354

Knut Köstergarten | TZI Bremen
Weitere Informationen:
http://www.tzi.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Ein stabiles magnetisches Bit aus drei Atomen
21.09.2017 | Sonderforschungsbereich 668

nachricht Drohnen sehen auch im Dunkeln
20.09.2017 | Universität Zürich

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Hochpräzise Verschaltung in der Hirnrinde

Es ist noch immer weitgehend unbekannt, wie die komplexen neuronalen Netzwerke im Gehirn aufgebaut sind. Insbesondere in der Hirnrinde der Säugetiere, wo Sehen, Denken und Orientierung berechnet werden, sind die Regeln, nach denen die Nervenzellen miteinander verschaltet sind, nur unzureichend erforscht. Wissenschaftler um Moritz Helmstaedter vom Max-Planck-Institut für Hirnforschung in Frankfurt am Main und Helene Schmidt vom Bernstein-Zentrum der Humboldt-Universität in Berlin haben nun in dem Teil der Großhirnrinde, der für die räumliche Orientierung zuständig ist, ein überraschend präzises Verschaltungsmuster der Nervenzellen entdeckt.

Wie die Forscher in Nature berichten (Schmidt et al., 2017. Axonal synapse sorting in medial entorhinal cortex, DOI: 10.1038/nature24005), haben die...

Im Focus: Highly precise wiring in the Cerebral Cortex

Our brains house extremely complex neuronal circuits, whose detailed structures are still largely unknown. This is especially true for the so-called cerebral cortex of mammals, where among other things vision, thoughts or spatial orientation are being computed. Here the rules by which nerve cells are connected to each other are only partly understood. A team of scientists around Moritz Helmstaedter at the Frankfiurt Max Planck Institute for Brain Research and Helene Schmidt (Humboldt University in Berlin) have now discovered a surprisingly precise nerve cell connectivity pattern in the part of the cerebral cortex that is responsible for orienting the individual animal or human in space.

The researchers report online in Nature (Schmidt et al., 2017. Axonal synapse sorting in medial entorhinal cortex, DOI: 10.1038/nature24005) that synapses in...

Im Focus: Tiny lasers from a gallery of whispers

New technique promises tunable laser devices

Whispering gallery mode (WGM) resonators are used to make tiny micro-lasers, sensors, switches, routers and other devices. These tiny structures rely on a...

Im Focus: Wundermaterial Graphen: Gewölbt wie das Polster eines Chesterfield-Sofas

Graphen besitzt extreme Eigenschaften und ist vielseitig verwendbar. Mit einem Trick lassen sich sogar die Spins im Graphen kontrollieren. Dies gelang einem HZB-Team schon vor einiger Zeit: Die Physiker haben dafür eine Lage Graphen auf einem Nickelsubstrat aufgebracht und Goldatome dazwischen eingeschleust. Im Fachblatt 2D Materials zeigen sie nun, warum dies sich derartig stark auf die Spins auswirkt. Graphen kommt so auch als Material für künftige Informationstechnologien infrage, die auf der Verarbeitung von Spins als Informationseinheiten basieren.

Graphen ist wohl die exotischste Form von Kohlenstoff: Alle Atome sind untereinander nur in der Ebene verbunden und bilden ein Netz mit sechseckigen Maschen,...

Im Focus: Hochautomatisiertes Fahren bei Schnee und Regen: Robuste Warnehmung dank intelligentem Sensormix

Schlechte Sichtverhältnisse bei Regen oder Schnellfall sind für Menschen und hochautomatisierte Fahrzeuge eine große Herausforderung. Im europäischen Projekt RobustSENSE haben die Forscher von Fraunhofer FOKUS mit 14 Partnern, darunter die Daimler AG und die Robert Bosch GmbH, in den vergangenen zwei Jahren eine Softwareplattform entwickelt, auf der verschiedene Sensordaten von Kamera, Laser, Radar und weitere Informationen wie Wetterdaten kombiniert werden. Ziel ist, eine robuste und zuverlässige Wahrnehmung der Straßensituation unabhängig von der Komplexität und der Sichtverhältnisse zu gewährleisten. Nach der virtuellen Erprobung des Systems erfolgt nun der Praxistest, unter anderem auf dem Berliner Testfeld für hochautomatisiertes Fahren.

Starker Schneefall, ein Ball rollt auf die Fahrbahn: Selbst ein Mensch kann mitunter nicht schnell genug erkennen, ob dies ein gefährlicher Gegenstand oder...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Die Erde und ihre Bestandteile im Fokus

21.09.2017 | Veranstaltungen

23. Baltic Sea Forum am 11. und 12. Oktober nimmt Wirtschaftspartner Finnland in den Fokus

21.09.2017 | Veranstaltungen

6. Stralsunder IT-Sicherheitskonferenz im Zeichen von Smart Home

21.09.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

OLED auf hauchdünnem Edelstahl

21.09.2017 | Messenachrichten

Weniger (Flug-)Lärm dank Mathematik

21.09.2017 | Physik Astronomie

In Zeiten des Klimawandels: Was die Farbe eines Sees über seinen Zustand verrät

21.09.2017 | Geowissenschaften