Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Mobile Web-Apps bieten Einfallstore für Datenspione (2)

03.03.2014

Informatiker der Uni Bremen testen mobile Web-Apps von namhaften Software-Herstellern mit dem Ergebnis: Zahlreiche Schwachstellen eröffnen die Möglichkeit, das Smartphone zu knacken.

Apps sind angesagt. Die Marktforscher von Gartner verzeichneten in 2013 weltweit 102 Milliarden Downloads aus allen App-Stores. Das schnelle Geschäft mit kurzen Entwicklungszeiten geht jedoch oft auf Kosten der Sicherheit, selbst bei Apps von großen Konzernen oder Banken. Wie sicher sind mobile Web-Apps eigentlich und welches sind die zentralen Schwachstellen?

Dieser Frage sind Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen auf den Grund gegangen. Sie haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und dann zum einen das Kommunikationsverhalten und zum anderen den Softwarecode analysiert.

Berechtigungen ermöglichen Spionen das Abgreifen von Daten

„Wir finden immer wieder zwei Einfallstore für Datenspione“, sagt TZI-Mitarbeiter Karsten Sohr. Zum einen fordern die Apps eine lange Liste von Berechtigungen, von denen viele gar nicht für die Funktionalität benötigt werden. Ein Beispiel ist die App eines großen Konzerns, über die Konzernnachrichten verbreitet werden.

„Insgesamt 22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet. Doch das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen. Das Perfide dabei: Der Nutzer bemerkt davon nichts“, sagt Christian Liebig, der am TZI seine Masterarbeit über das Thema schreibt.

Einspeisen von Schadsoftware durch Lücken in der SSL-Verschlüsselung

Das andere Einfallstor ist die sichere Verschlüsselung nach dem SSL-Standard. „Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert“, erläutert Sohr. Das Problem ist jedoch, dass Datenspionen eine minimale Sicherheitslücke im Softwarecode einer App ausreicht, um Java-Code einzuspeisen und das Smartphone übernehmen zu können.

„Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden“, berichtet Liebig. Basis für sehr viele Apps ist das Framework Cordova von Apache. Es kann von Programmierern ohne großen Aufwand für die verschiedenen App-Stores angepasst werden, fordert aber standardmäßig viele Berechtigungen.

„Doch wer Cordova einsetzt, muss den gesamten Softwarecode sicher machen. Und er muss sich die Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der App unerlässlich sind“, sagt Liebig. Um Programmierern zu helfen, hat TZI-Kollege Bernhard Berger ein Tool entwickelt, mit dem sich jetzt Cordova-Apps für Android automatisiert auf Lücken testen lassen.

Weitere Informationen:

Universität Bremen
Technologie-Zentrum Informatik und Informationstechnik (TZI)
Karsten Sohr
Tel. 0421 218-63922
E-Mail: sohr@tzi.de
oder
Knut Köstergarten
Tel. 0421 3800353
Mobil: 0176 28059267
E-Mail: koestergarten@wortpiraten.de

Eberhard Scholz | idw - Informationsdienst Wissenschaft
Weitere Informationen:
http://www.uni-bremen.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht TU Ilmenau entwickelt Chiptechnologie von morgen
20.04.2017 | Technische Universität Ilmenau

nachricht Datenschutzwächter sichert Smart Homes
20.04.2017 | FZI Forschungszentrum Informatik am Karlsruher Institut für Technologie

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Immunzellen helfen bei elektrischer Reizleitung im Herzen

Erstmals elektrische Kopplung von Muskelzellen und Makrophagen im Herzen nachgewiesen / Erkenntnisse könnten neue Therapieansätze bei Herzinfarkt und Herzrhythmus-Störungen ermöglichen / Publikation am 20. April 2017 in Cell

Makrophagen, auch Fresszellen genannt, sind Teil des Immunsystems und spielen eine wesentliche Rolle in der Abwehr von Krankheitserregern und bei der...

Im Focus: Tief im Inneren von M87

Die Galaxie M87 enthält ein supermassereiches Schwarzes Loch von sechs Milliarden Sonnenmassen im Zentrum. Ihr leuchtkräftiger Jet dominiert das beobachtete Spektrum über einen Frequenzbereich von 10 Größenordnungen. Aufgrund ihrer Nähe, des ausgeprägten Jets und des sehr massereichen Schwarzen Lochs stellt M87 ein ideales Laboratorium dar, um die Entstehung, Beschleunigung und Bündelung der Materie in relativistischen Jets zu erforschen. Ein Forscherteam unter der Leitung von Silke Britzen vom MPIfR Bonn liefert Hinweise für die Verbindung von Akkretionsscheibe und Jet von M87 durch turbulente Prozesse und damit neue Erkenntnisse für das Problem des Ursprungs von astrophysikalischen Jets.

Supermassereiche Schwarze Löcher in den Zentren von Galaxien sind eines der rätselhaftesten Phänomene in der modernen Astrophysik. Ihr gewaltiger...

Im Focus: Deep inside Galaxy M87

The nearby, giant radio galaxy M87 hosts a supermassive black hole (BH) and is well-known for its bright jet dominating the spectrum over ten orders of magnitude in frequency. Due to its proximity, jet prominence, and the large black hole mass, M87 is the best laboratory for investigating the formation, acceleration, and collimation of relativistic jets. A research team led by Silke Britzen from the Max Planck Institute for Radio Astronomy in Bonn, Germany, has found strong indication for turbulent processes connecting the accretion disk and the jet of that galaxy providing insights into the longstanding problem of the origin of astrophysical jets.

Supermassive black holes form some of the most enigmatic phenomena in astrophysics. Their enormous energy output is supposed to be generated by the...

Im Focus: Neu entdeckter Exoplanet könnte bester Kandidat für die Suche nach Leben sein

Supererde in bewohnbarer Zone um aktivitätsschwachen roten Zwergstern gefunden

Ein Exoplanet, der 40 Lichtjahre von der Erde entfernt einen roten Zwergstern umkreist, könnte in naher Zukunft der beste Ort sein, um außerhalb des...

Im Focus: Resistiver Schaltmechanismus aufgeklärt

Sie erlauben energiesparendes Schalten innerhalb von Nanosekunden, und die gespeicherten Informationen bleiben auf Dauer erhalten: ReRAM-Speicher gelten als Hoffnungsträger für die Datenspeicher der Zukunft.

Wie ReRAM-Zellen genau funktionieren, ist jedoch bisher nicht vollständig verstanden. Insbesondere die Details der ablaufenden chemischen Reaktionen geben den...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Smart-Data-Forschung auf dem Weg in die wirtschaftliche Praxis

21.04.2017 | Veranstaltungen

Baukultur: Mehr Qualität durch Gestaltungsbeiräte

21.04.2017 | Veranstaltungen

Licht - ein Werkzeug für die Laborbranche

20.04.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Intelligenter Werkstattwagen unterstützt Mensch in der Produktion

21.04.2017 | HANNOVER MESSE

Forschungszentrum Jülich auf der Hannover Messe 2017

21.04.2017 | HANNOVER MESSE

Smart-Data-Forschung auf dem Weg in die wirtschaftliche Praxis

21.04.2017 | Veranstaltungsnachrichten