Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Mobile Web-Apps bieten Einfallstore für Datenspione (2)

03.03.2014

Informatiker der Uni Bremen testen mobile Web-Apps von namhaften Software-Herstellern mit dem Ergebnis: Zahlreiche Schwachstellen eröffnen die Möglichkeit, das Smartphone zu knacken.

Apps sind angesagt. Die Marktforscher von Gartner verzeichneten in 2013 weltweit 102 Milliarden Downloads aus allen App-Stores. Das schnelle Geschäft mit kurzen Entwicklungszeiten geht jedoch oft auf Kosten der Sicherheit, selbst bei Apps von großen Konzernen oder Banken. Wie sicher sind mobile Web-Apps eigentlich und welches sind die zentralen Schwachstellen?

Dieser Frage sind Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen auf den Grund gegangen. Sie haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und dann zum einen das Kommunikationsverhalten und zum anderen den Softwarecode analysiert.

Berechtigungen ermöglichen Spionen das Abgreifen von Daten

„Wir finden immer wieder zwei Einfallstore für Datenspione“, sagt TZI-Mitarbeiter Karsten Sohr. Zum einen fordern die Apps eine lange Liste von Berechtigungen, von denen viele gar nicht für die Funktionalität benötigt werden. Ein Beispiel ist die App eines großen Konzerns, über die Konzernnachrichten verbreitet werden.

„Insgesamt 22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet. Doch das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen. Das Perfide dabei: Der Nutzer bemerkt davon nichts“, sagt Christian Liebig, der am TZI seine Masterarbeit über das Thema schreibt.

Einspeisen von Schadsoftware durch Lücken in der SSL-Verschlüsselung

Das andere Einfallstor ist die sichere Verschlüsselung nach dem SSL-Standard. „Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert“, erläutert Sohr. Das Problem ist jedoch, dass Datenspionen eine minimale Sicherheitslücke im Softwarecode einer App ausreicht, um Java-Code einzuspeisen und das Smartphone übernehmen zu können.

„Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden“, berichtet Liebig. Basis für sehr viele Apps ist das Framework Cordova von Apache. Es kann von Programmierern ohne großen Aufwand für die verschiedenen App-Stores angepasst werden, fordert aber standardmäßig viele Berechtigungen.

„Doch wer Cordova einsetzt, muss den gesamten Softwarecode sicher machen. Und er muss sich die Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der App unerlässlich sind“, sagt Liebig. Um Programmierern zu helfen, hat TZI-Kollege Bernhard Berger ein Tool entwickelt, mit dem sich jetzt Cordova-Apps für Android automatisiert auf Lücken testen lassen.

Weitere Informationen:

Universität Bremen
Technologie-Zentrum Informatik und Informationstechnik (TZI)
Karsten Sohr
Tel. 0421 218-63922
E-Mail: sohr@tzi.de
oder
Knut Köstergarten
Tel. 0421 3800353
Mobil: 0176 28059267
E-Mail: koestergarten@wortpiraten.de

Eberhard Scholz | idw - Informationsdienst Wissenschaft
Weitere Informationen:
http://www.uni-bremen.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Schreibgeschwindigkeit: Terahertz
25.04.2018 | Johannes Gutenberg-Universität Mainz

nachricht Quantentechnologie für neue Bildgebung – QUILT
25.04.2018 | Fraunhofer-Institut für Lasertechnik ILT

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: BAM@Hannover Messe: Innovatives 3D-Druckverfahren für die Raumfahrt

Auf der Hannover Messe 2018 präsentiert die Bundesanstalt für Materialforschung und -prüfung (BAM), wie Astronauten in Zukunft Werkzeug oder Ersatzteile per 3D-Druck in der Schwerelosigkeit selbst herstellen können. So können Gewicht und damit auch Transportkosten für Weltraummissionen deutlich reduziert werden. Besucherinnen und Besucher können das innovative additive Fertigungsverfahren auf der Messe live erleben.

Pulverbasierte additive Fertigung unter Schwerelosigkeit heißt das Projekt, bei dem ein Bauteil durch Aufbringen von Pulverschichten und selektivem...

Im Focus: BAM@Hannover Messe: innovative 3D printing method for space flight

At the Hannover Messe 2018, the Bundesanstalt für Materialforschung und-prüfung (BAM) will show how, in the future, astronauts could produce their own tools or spare parts in zero gravity using 3D printing. This will reduce, weight and transport costs for space missions. Visitors can experience the innovative additive manufacturing process live at the fair.

Powder-based additive manufacturing in zero gravity is the name of the project in which a component is produced by applying metallic powder layers and then...

Im Focus: IWS-Ingenieure formen moderne Alu-Bauteile für zukünftige Flugzeuge

Mit Unterdruck zum Leichtbau-Flugzeug

Ingenieure des Fraunhofer-Instituts für Werkstoff- und Strahltechnik (IWS) in Dresden haben in Kooperation mit Industriepartnern ein innovatives Verfahren...

Im Focus: Moleküle brillant beleuchtet

Physiker des Labors für Attosekundenphysik, der Ludwig-Maximilians-Universität und des Max-Planck-Instituts für Quantenoptik haben eine leistungsstarke Lichtquelle entwickelt, die ultrakurze Pulse über einen Großteil des mittleren Infrarot-Wellenlängenbereichs generiert. Die Wissenschaftler versprechen sich von dieser Technologie eine Vielzahl von Anwendungen, unter anderem im Bereich der Krebsfrüherkennung.

Moleküle sind die Grundelemente des Lebens. Auch wir Menschen bestehen aus ihnen. Sie steuern unseren Biorhythmus, zeigen aber auch an, wenn dieser erkrankt...

Im Focus: Molecules Brilliantly Illuminated

Physicists at the Laboratory for Attosecond Physics, which is jointly run by Ludwig-Maximilians-Universität and the Max Planck Institute of Quantum Optics, have developed a high-power laser system that generates ultrashort pulses of light covering a large share of the mid-infrared spectrum. The researchers envisage a wide range of applications for the technology – in the early diagnosis of cancer, for instance.

Molecules are the building blocks of life. Like all other organisms, we are made of them. They control our biorhythm, and they can also reflect our state of...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

infernum-Tag 2018: Digitalisierung und Nachhaltigkeit

24.04.2018 | Veranstaltungen

Fraunhofer eröffnet Community zur Entwicklung von Anwendungen und Technologien für die Industrie 4.0

23.04.2018 | Veranstaltungen

Mars Sample Return – Wann kommen die ersten Gesteinsproben vom Roten Planeten?

23.04.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Demographie beeinflusst Brutfürsorge bei Regenpfeifern

25.04.2018 | Biowissenschaften Chemie

Die Zukunft des Fliegens auf dem Prüfstand

25.04.2018 | Maschinenbau

Rittal digitalisiert Fertigung - Produktion weltweit nach Industrie 4.0

25.04.2018 | HANNOVER MESSE

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics