Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Mobile Web-Apps bieten Einfallstore für Datenspione (2)

03.03.2014

Informatiker der Uni Bremen testen mobile Web-Apps von namhaften Software-Herstellern mit dem Ergebnis: Zahlreiche Schwachstellen eröffnen die Möglichkeit, das Smartphone zu knacken.

Apps sind angesagt. Die Marktforscher von Gartner verzeichneten in 2013 weltweit 102 Milliarden Downloads aus allen App-Stores. Das schnelle Geschäft mit kurzen Entwicklungszeiten geht jedoch oft auf Kosten der Sicherheit, selbst bei Apps von großen Konzernen oder Banken. Wie sicher sind mobile Web-Apps eigentlich und welches sind die zentralen Schwachstellen?

Dieser Frage sind Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen auf den Grund gegangen. Sie haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und dann zum einen das Kommunikationsverhalten und zum anderen den Softwarecode analysiert.

Berechtigungen ermöglichen Spionen das Abgreifen von Daten

„Wir finden immer wieder zwei Einfallstore für Datenspione“, sagt TZI-Mitarbeiter Karsten Sohr. Zum einen fordern die Apps eine lange Liste von Berechtigungen, von denen viele gar nicht für die Funktionalität benötigt werden. Ein Beispiel ist die App eines großen Konzerns, über die Konzernnachrichten verbreitet werden.

„Insgesamt 22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet. Doch das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen. Das Perfide dabei: Der Nutzer bemerkt davon nichts“, sagt Christian Liebig, der am TZI seine Masterarbeit über das Thema schreibt.

Einspeisen von Schadsoftware durch Lücken in der SSL-Verschlüsselung

Das andere Einfallstor ist die sichere Verschlüsselung nach dem SSL-Standard. „Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert“, erläutert Sohr. Das Problem ist jedoch, dass Datenspionen eine minimale Sicherheitslücke im Softwarecode einer App ausreicht, um Java-Code einzuspeisen und das Smartphone übernehmen zu können.

„Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden“, berichtet Liebig. Basis für sehr viele Apps ist das Framework Cordova von Apache. Es kann von Programmierern ohne großen Aufwand für die verschiedenen App-Stores angepasst werden, fordert aber standardmäßig viele Berechtigungen.

„Doch wer Cordova einsetzt, muss den gesamten Softwarecode sicher machen. Und er muss sich die Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der App unerlässlich sind“, sagt Liebig. Um Programmierern zu helfen, hat TZI-Kollege Bernhard Berger ein Tool entwickelt, mit dem sich jetzt Cordova-Apps für Android automatisiert auf Lücken testen lassen.

Weitere Informationen:

Universität Bremen
Technologie-Zentrum Informatik und Informationstechnik (TZI)
Karsten Sohr
Tel. 0421 218-63922
E-Mail: sohr@tzi.de
oder
Knut Köstergarten
Tel. 0421 3800353
Mobil: 0176 28059267
E-Mail: koestergarten@wortpiraten.de

Eberhard Scholz | idw - Informationsdienst Wissenschaft
Weitere Informationen:
http://www.uni-bremen.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Datenbrille erleichtert Gehörlosen die Arbeit in der Lagerlogistik
23.02.2018 | Technische Universität München

nachricht Verlässliche Quantencomputer entwickeln
22.02.2018 | Albert-Ludwigs-Universität Freiburg im Breisgau

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Vorstoß ins Innere der Atome

Mit Hilfe einer neuen Lasertechnologie haben es Physiker vom Labor für Attosekundenphysik der LMU und des MPQ geschafft, Attosekunden-Lichtblitze mit hoher Intensität und Photonenenergie zu produzieren. Damit konnten sie erstmals die Interaktion mehrere Photonen in einem Attosekundenpuls mit Elektronen aus einer inneren atomaren Schale beobachten konnten.

Wer die ultraschnelle Bewegung von Elektronen in inneren atomaren Schalen beobachten möchte, der benötigt ultrakurze und intensive Lichtblitze bei genügend...

Im Focus: Attoseconds break into atomic interior

A newly developed laser technology has enabled physicists in the Laboratory for Attosecond Physics (jointly run by LMU Munich and the Max Planck Institute of Quantum Optics) to generate attosecond bursts of high-energy photons of unprecedented intensity. This has made it possible to observe the interaction of multiple photons in a single such pulse with electrons in the inner orbital shell of an atom.

In order to observe the ultrafast electron motion in the inner shells of atoms with short light pulses, the pulses must not only be ultrashort, but very...

Im Focus: Good vibrations feel the force

Eine Gruppe von Forschern um Andrea Cavalleri am Max-Planck-Institut für Struktur und Dynamik der Materie (MPSD) in Hamburg hat eine Methode demonstriert, die es erlaubt die interatomaren Kräfte eines Festkörpers detailliert auszumessen. Ihr Artikel Probing the Interatomic Potential of Solids by Strong-Field Nonlinear Phononics, nun online in Nature veröffentlich, erläutert, wie Terahertz-Laserpulse die Atome eines Festkörpers zu extrem hohen Auslenkungen treiben können.

Die zeitaufgelöste Messung der sehr unkonventionellen atomaren Bewegungen, die einer Anregung mit extrem starken Lichtpulsen folgen, ermöglichte es der...

Im Focus: Good vibrations feel the force

A group of researchers led by Andrea Cavalleri at the Max Planck Institute for Structure and Dynamics of Matter (MPSD) in Hamburg has demonstrated a new method enabling precise measurements of the interatomic forces that hold crystalline solids together. The paper Probing the Interatomic Potential of Solids by Strong-Field Nonlinear Phononics, published online in Nature, explains how a terahertz-frequency laser pulse can drive very large deformations of the crystal.

By measuring the highly unusual atomic trajectories under extreme electromagnetic transients, the MPSD group could reconstruct how rigid the atomic bonds are...

Im Focus: Verlässliche Quantencomputer entwickeln

Internationalem Forschungsteam gelingt wichtiger Schritt auf dem Weg zur Lösung von Zertifizierungsproblemen

Quantencomputer sollen künftig algorithmische Probleme lösen, die selbst die größten klassischen Superrechner überfordern. Doch wie lässt sich prüfen, dass der...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Von festen Körpern und Philosophen

23.02.2018 | Veranstaltungen

Spannungsfeld Elektromobilität

23.02.2018 | Veranstaltungen

DFG unterstützt Kongresse und Tagungen - April 2018

21.02.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Vorstoß ins Innere der Atome

23.02.2018 | Physik Astronomie

Wirt oder Gast? Proteomik gibt neue Aufschlüsse über Reaktion von Rifforganismen auf Umweltstress

23.02.2018 | Biowissenschaften Chemie

Wie Zellen unterschiedlich auf Stress reagieren

23.02.2018 | Biowissenschaften Chemie

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics