Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Mobile Web-Apps bieten Einfallstore für Datenspione (2)

03.03.2014

Informatiker der Uni Bremen testen mobile Web-Apps von namhaften Software-Herstellern mit dem Ergebnis: Zahlreiche Schwachstellen eröffnen die Möglichkeit, das Smartphone zu knacken.

Apps sind angesagt. Die Marktforscher von Gartner verzeichneten in 2013 weltweit 102 Milliarden Downloads aus allen App-Stores. Das schnelle Geschäft mit kurzen Entwicklungszeiten geht jedoch oft auf Kosten der Sicherheit, selbst bei Apps von großen Konzernen oder Banken. Wie sicher sind mobile Web-Apps eigentlich und welches sind die zentralen Schwachstellen?

Dieser Frage sind Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen auf den Grund gegangen. Sie haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und dann zum einen das Kommunikationsverhalten und zum anderen den Softwarecode analysiert.

Berechtigungen ermöglichen Spionen das Abgreifen von Daten

„Wir finden immer wieder zwei Einfallstore für Datenspione“, sagt TZI-Mitarbeiter Karsten Sohr. Zum einen fordern die Apps eine lange Liste von Berechtigungen, von denen viele gar nicht für die Funktionalität benötigt werden. Ein Beispiel ist die App eines großen Konzerns, über die Konzernnachrichten verbreitet werden.

„Insgesamt 22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet. Doch das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen. Das Perfide dabei: Der Nutzer bemerkt davon nichts“, sagt Christian Liebig, der am TZI seine Masterarbeit über das Thema schreibt.

Einspeisen von Schadsoftware durch Lücken in der SSL-Verschlüsselung

Das andere Einfallstor ist die sichere Verschlüsselung nach dem SSL-Standard. „Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert“, erläutert Sohr. Das Problem ist jedoch, dass Datenspionen eine minimale Sicherheitslücke im Softwarecode einer App ausreicht, um Java-Code einzuspeisen und das Smartphone übernehmen zu können.

„Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden“, berichtet Liebig. Basis für sehr viele Apps ist das Framework Cordova von Apache. Es kann von Programmierern ohne großen Aufwand für die verschiedenen App-Stores angepasst werden, fordert aber standardmäßig viele Berechtigungen.

„Doch wer Cordova einsetzt, muss den gesamten Softwarecode sicher machen. Und er muss sich die Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der App unerlässlich sind“, sagt Liebig. Um Programmierern zu helfen, hat TZI-Kollege Bernhard Berger ein Tool entwickelt, mit dem sich jetzt Cordova-Apps für Android automatisiert auf Lücken testen lassen.

Weitere Informationen:

Universität Bremen
Technologie-Zentrum Informatik und Informationstechnik (TZI)
Karsten Sohr
Tel. 0421 218-63922
E-Mail: sohr@tzi.de
oder
Knut Köstergarten
Tel. 0421 3800353
Mobil: 0176 28059267
E-Mail: koestergarten@wortpiraten.de

Eberhard Scholz | idw - Informationsdienst Wissenschaft
Weitere Informationen:
http://www.uni-bremen.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Intel und Universität Luxemburg kooperieren, um selbstfahrende Autos sicherer zu machen
24.11.2017 | Universität Luxemburg - Université du Luxembourg

nachricht Europäisches Konsortium baut effizientestes Rechenzentrum der Welt
22.11.2017 | Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Metamaterial mit Dreheffekt

Mit 3D-Druckern für den Mikrobereich ist es Forschern des Karlsruher Instituts für Technologie (KIT) gelungen ein Metamaterial aus würfelförmigen Bausteinen zu schaffen, das auf Druckkräfte mit einer Rotation antwortet. Üblicherweise gelingt dies nur mit Hilfe einer Übersetzung wie zum Beispiel einer Kurbelwelle. Das ausgeklügelte Design aus Streben und Ringstrukturen, sowie die zu Grunde liegende Mathematik stellen die Wissenschaftler in der aktuellen Ausgabe der renommierten Fachzeitschrift Science vor.

„Übt man Kraft von oben auf einen Materialblock aus, dann deformiert sich dieser in unterschiedlicher Weise. Er kann sich ausbuchten, zusammenstauchen oder...

Im Focus: Proton-Rekord: Magnetisches Moment mit höchster Genauigkeit gemessen

Hochpräzise Messung des g-Faktors elf Mal genauer als bisher – Ergebnisse zeigen große Übereinstimmung zwischen Protonen und Antiprotonen

Das magnetische Moment eines einzelnen Protons ist unvorstellbar klein, aber es kann dennoch gemessen werden. Vor über zehn Jahren wurde für diese Messung der...

Im Focus: New proton record: Researchers measure magnetic moment with greatest possible precision

High-precision measurement of the g-factor eleven times more precise than before / Results indicate a strong similarity between protons and antiprotons

The magnetic moment of an individual proton is inconceivably small, but can still be quantified. The basis for undertaking this measurement was laid over ten...

Im Focus: Reibungswärme treibt hydrothermale Aktivität auf Enceladus an

Computersimulation zeigt, wie der Eismond Wasser in einem porösen Gesteinskern aufheizt

Wärme aus der Reibung von Gestein, ausgelöst durch starke Gezeitenkräfte, könnte der „Motor“ für die hydrothermale Aktivität auf dem Saturnmond Enceladus sein....

Im Focus: Frictional Heat Powers Hydrothermal Activity on Enceladus

Computer simulation shows how the icy moon heats water in a porous rock core

Heat from the friction of rocks caused by tidal forces could be the “engine” for the hydrothermal activity on Saturn's moon Enceladus. This presupposes that...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Forschungsschwerpunkt „Smarte Systeme für Mensch und Maschine“ gegründet

24.11.2017 | Veranstaltungen

Schonender Hüftgelenkersatz bei jungen Patienten - Schlüssellochchirurgie und weniger Abrieb

24.11.2017 | Veranstaltungen

Kinderanästhesie aktuell: Symposium für Ärzte und Pflegekräfte

23.11.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Mathematiker-Jahrestagung DMV + GDM: 5. bis 9. März 2018 an Uni Paderborn - Über 1.000 Teilnehmer

24.11.2017 | Veranstaltungsnachrichten

Maschinen über die eigene Handfläche steuern: Nachwuchspreis für Medieninformatik-Student

24.11.2017 | Förderungen Preise

Treibjagd in der Petrischale

24.11.2017 | Biowissenschaften Chemie