Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Mobile Web-Apps bieten Einfallstore für Datenspione (2)

03.03.2014

Informatiker der Uni Bremen testen mobile Web-Apps von namhaften Software-Herstellern mit dem Ergebnis: Zahlreiche Schwachstellen eröffnen die Möglichkeit, das Smartphone zu knacken.

Apps sind angesagt. Die Marktforscher von Gartner verzeichneten in 2013 weltweit 102 Milliarden Downloads aus allen App-Stores. Das schnelle Geschäft mit kurzen Entwicklungszeiten geht jedoch oft auf Kosten der Sicherheit, selbst bei Apps von großen Konzernen oder Banken. Wie sicher sind mobile Web-Apps eigentlich und welches sind die zentralen Schwachstellen?

Dieser Frage sind Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen auf den Grund gegangen. Sie haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und dann zum einen das Kommunikationsverhalten und zum anderen den Softwarecode analysiert.

Berechtigungen ermöglichen Spionen das Abgreifen von Daten

„Wir finden immer wieder zwei Einfallstore für Datenspione“, sagt TZI-Mitarbeiter Karsten Sohr. Zum einen fordern die Apps eine lange Liste von Berechtigungen, von denen viele gar nicht für die Funktionalität benötigt werden. Ein Beispiel ist die App eines großen Konzerns, über die Konzernnachrichten verbreitet werden.

„Insgesamt 22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet. Doch das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen. Das Perfide dabei: Der Nutzer bemerkt davon nichts“, sagt Christian Liebig, der am TZI seine Masterarbeit über das Thema schreibt.

Einspeisen von Schadsoftware durch Lücken in der SSL-Verschlüsselung

Das andere Einfallstor ist die sichere Verschlüsselung nach dem SSL-Standard. „Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert“, erläutert Sohr. Das Problem ist jedoch, dass Datenspionen eine minimale Sicherheitslücke im Softwarecode einer App ausreicht, um Java-Code einzuspeisen und das Smartphone übernehmen zu können.

„Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden“, berichtet Liebig. Basis für sehr viele Apps ist das Framework Cordova von Apache. Es kann von Programmierern ohne großen Aufwand für die verschiedenen App-Stores angepasst werden, fordert aber standardmäßig viele Berechtigungen.

„Doch wer Cordova einsetzt, muss den gesamten Softwarecode sicher machen. Und er muss sich die Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der App unerlässlich sind“, sagt Liebig. Um Programmierern zu helfen, hat TZI-Kollege Bernhard Berger ein Tool entwickelt, mit dem sich jetzt Cordova-Apps für Android automatisiert auf Lücken testen lassen.

Weitere Informationen:

Universität Bremen
Technologie-Zentrum Informatik und Informationstechnik (TZI)
Karsten Sohr
Tel. 0421 218-63922
E-Mail: sohr@tzi.de
oder
Knut Köstergarten
Tel. 0421 3800353
Mobil: 0176 28059267
E-Mail: koestergarten@wortpiraten.de

Eberhard Scholz | idw - Informationsdienst Wissenschaft
Weitere Informationen:
http://www.uni-bremen.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Vom Gehirn zur Robotik: Algorithmen verarbeiten Sensordaten wie das Gehirn
25.09.2017 | Universität Ulm

nachricht Ein stabiles magnetisches Bit aus drei Atomen
21.09.2017 | Sonderforschungsbereich 668

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Die schnellste lichtgetriebene Stromquelle der Welt

Die Stromregelung ist eine der wichtigsten Komponenten moderner Elektronik, denn über schnell angesteuerte Elektronenströme werden Daten und Signale übertragen. Die Ansprüche an die Schnelligkeit der Datenübertragung wachsen dabei beständig. In eine ganz neue Dimension der schnellen Stromregelung sind nun Wissenschaftler der Lehrstühle für Laserphysik und Angewandte Physik an der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) vorgedrungen. Ihnen ist es gelungen, im „Wundermaterial“ Graphen Elektronenströme innerhalb von einer Femtosekunde in die gewünschte Richtung zu lenken – eine Femtosekunde entspricht dabei dem millionsten Teil einer milliardstel Sekunde.

Der Trick: die Elektronen werden von einer einzigen Schwingung eines Lichtpulses angetrieben. Damit können sie den Vorgang um mehr als das Tausendfache im...

Im Focus: The fastest light-driven current source

Controlling electronic current is essential to modern electronics, as data and signals are transferred by streams of electrons which are controlled at high speed. Demands on transmission speeds are also increasing as technology develops. Scientists from the Chair of Laser Physics and the Chair of Applied Physics at Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) have succeeded in switching on a current with a desired direction in graphene using a single laser pulse within a femtosecond ¬¬ – a femtosecond corresponds to the millionth part of a billionth of a second. This is more than a thousand times faster compared to the most efficient transistors today.

Graphene is up to the job

Im Focus: LaserTAB: Effizientere und präzisere Kontakte dank Roboter-Kollaboration

Auf der diesjährigen productronica in München stellt das Fraunhofer-Institut für Lasertechnik ILT das Laser-Based Tape-Automated Bonding, kurz LaserTAB, vor: Die Aachener Experten zeigen, wie sich dank neuer Optik und Roboter-Unterstützung Batteriezellen und Leistungselektronik effizienter und präziser als bisher lasermikroschweißen lassen.

Auf eine geschickte Kombination von Roboter-Einsatz, Laserscanner mit selbstentwickelter neuer Optik und Prozessüberwachung setzt das Fraunhofer ILT aus Aachen.

Im Focus: LaserTAB: More efficient and precise contacts thanks to human-robot collaboration

At the productronica trade fair in Munich this November, the Fraunhofer Institute for Laser Technology ILT will be presenting Laser-Based Tape-Automated Bonding, LaserTAB for short. The experts from Aachen will be demonstrating how new battery cells and power electronics can be micro-welded more efficiently and precisely than ever before thanks to new optics and robot support.

Fraunhofer ILT from Aachen relies on a clever combination of robotics and a laser scanner with new optics as well as process monitoring, which it has developed...

Im Focus: The pyrenoid is a carbon-fixing liquid droplet

Plants and algae use the enzyme Rubisco to fix carbon dioxide, removing it from the atmosphere and converting it into biomass. Algae have figured out a way to increase the efficiency of carbon fixation. They gather most of their Rubisco into a ball-shaped microcompartment called the pyrenoid, which they flood with a high local concentration of carbon dioxide. A team of scientists at Princeton University, the Carnegie Institution for Science, Stanford University and the Max Plank Institute of Biochemistry have unravelled the mysteries of how the pyrenoid is assembled. These insights can help to engineer crops that remove more carbon dioxide from the atmosphere while producing more food.

A warming planet

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Im Spannungsfeld von Biologie und Modellierung

26.09.2017 | Veranstaltungen

Archaeopteryx, Klimawandel und Zugvögel: Deutsche Ornithologen-Gesellschaft tagt an der Uni Halle

26.09.2017 | Veranstaltungen

Unsere Arbeitswelt von morgen – Polarisierendes Thema beim 7. Unternehmertag der HNEE

26.09.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Europas erste Testumgebung für selbstfahrende Züge entsteht im Burgenland

26.09.2017 | Verkehr Logistik

Nerven steuern die Bakterienbesiedlung des Körpers

26.09.2017 | Biowissenschaften Chemie

Mit künstlicher Intelligenz zum chemischen Fingerabdruck

26.09.2017 | Biowissenschaften Chemie