Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Mobile Web-Apps bieten Einfallstore für Datenspione (2)

03.03.2014

Informatiker der Uni Bremen testen mobile Web-Apps von namhaften Software-Herstellern mit dem Ergebnis: Zahlreiche Schwachstellen eröffnen die Möglichkeit, das Smartphone zu knacken.

Apps sind angesagt. Die Marktforscher von Gartner verzeichneten in 2013 weltweit 102 Milliarden Downloads aus allen App-Stores. Das schnelle Geschäft mit kurzen Entwicklungszeiten geht jedoch oft auf Kosten der Sicherheit, selbst bei Apps von großen Konzernen oder Banken. Wie sicher sind mobile Web-Apps eigentlich und welches sind die zentralen Schwachstellen?

Dieser Frage sind Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen auf den Grund gegangen. Sie haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und dann zum einen das Kommunikationsverhalten und zum anderen den Softwarecode analysiert.

Berechtigungen ermöglichen Spionen das Abgreifen von Daten

„Wir finden immer wieder zwei Einfallstore für Datenspione“, sagt TZI-Mitarbeiter Karsten Sohr. Zum einen fordern die Apps eine lange Liste von Berechtigungen, von denen viele gar nicht für die Funktionalität benötigt werden. Ein Beispiel ist die App eines großen Konzerns, über die Konzernnachrichten verbreitet werden.

„Insgesamt 22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet. Doch das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen. Das Perfide dabei: Der Nutzer bemerkt davon nichts“, sagt Christian Liebig, der am TZI seine Masterarbeit über das Thema schreibt.

Einspeisen von Schadsoftware durch Lücken in der SSL-Verschlüsselung

Das andere Einfallstor ist die sichere Verschlüsselung nach dem SSL-Standard. „Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert“, erläutert Sohr. Das Problem ist jedoch, dass Datenspionen eine minimale Sicherheitslücke im Softwarecode einer App ausreicht, um Java-Code einzuspeisen und das Smartphone übernehmen zu können.

„Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden“, berichtet Liebig. Basis für sehr viele Apps ist das Framework Cordova von Apache. Es kann von Programmierern ohne großen Aufwand für die verschiedenen App-Stores angepasst werden, fordert aber standardmäßig viele Berechtigungen.

„Doch wer Cordova einsetzt, muss den gesamten Softwarecode sicher machen. Und er muss sich die Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der App unerlässlich sind“, sagt Liebig. Um Programmierern zu helfen, hat TZI-Kollege Bernhard Berger ein Tool entwickelt, mit dem sich jetzt Cordova-Apps für Android automatisiert auf Lücken testen lassen.

Weitere Informationen:

Universität Bremen
Technologie-Zentrum Informatik und Informationstechnik (TZI)
Karsten Sohr
Tel. 0421 218-63922
E-Mail: sohr@tzi.de
oder
Knut Köstergarten
Tel. 0421 3800353
Mobil: 0176 28059267
E-Mail: koestergarten@wortpiraten.de

Eberhard Scholz | idw - Informationsdienst Wissenschaft
Weitere Informationen:
http://www.uni-bremen.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Dinosaurier mit Fleisch und Haut: Projekt zu digitaler Technik für MuseumsbesucherInnen
18.07.2017 | Fachhochschule St. Pölten

nachricht Rechtssicher durch den Cyberspace: Forschungsprojekt zur digitalen Rechteklärung
11.07.2017 | Fachhochschule St. Pölten

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Molekulares Lego

Sie können ihre Farbe wechseln, ihren Spin verändern oder von fest zu flüssig wechseln: Eine bestimmte Klasse von Polymeren besitzt faszinierende Eigenschaften. Wie sie das schaffen, haben Forscher der Uni Würzburg untersucht.

Bei dieser Arbeit handele es sich um ein „Hot Paper“, das interessante und wichtige Aspekte einer neuen Polymerklasse behandelt, die aufgrund ihrer Vielfalt an...

Im Focus: Das Universum in einem Kristall

Dresdener Forscher haben in Zusammenarbeit mit einem internationalen Forscherteam einen unerwarteten experimentellen Zugang zu einem Problem der Allgemeinen Realitätstheorie gefunden. Im Fachmagazin Nature berichten sie, dass es ihnen in neuartigen Materialien und mit Hilfe von thermoelektrischen Messungen gelungen ist, die Schwerkraft-Quantenanomalie nachzuweisen. Erstmals konnten so Quantenanomalien in simulierten Schwerfeldern an einem realen Kristall untersucht werden.

In der Physik spielen Messgrößen wie Energie, Impuls oder elektrische Ladung, welche ihre Erscheinungsform zwar ändern können, aber niemals verloren gehen oder...

Im Focus: Manipulation des Elektronenspins ohne Informationsverlust

Physiker haben eine neue Technik entwickelt, um auf einem Chip den Elektronenspin mit elektrischen Spannungen zu steuern. Mit der neu entwickelten Methode kann der Zerfall des Spins unterdrückt, die enthaltene Information erhalten und über vergleichsweise grosse Distanzen übermittelt werden. Das zeigt ein Team des Departement Physik der Universität Basel und des Swiss Nanoscience Instituts in einer Veröffentlichung in Physical Review X.

Seit einigen Jahren wird weltweit untersucht, wie sich der Spin des Elektrons zur Speicherung und Übertragung von Information nutzen lässt. Der Spin jedes...

Im Focus: Manipulating Electron Spins Without Loss of Information

Physicists have developed a new technique that uses electrical voltages to control the electron spin on a chip. The newly-developed method provides protection from spin decay, meaning that the contained information can be maintained and transmitted over comparatively large distances, as has been demonstrated by a team from the University of Basel’s Department of Physics and the Swiss Nanoscience Institute. The results have been published in Physical Review X.

For several years, researchers have been trying to use the spin of an electron to store and transmit information. The spin of each electron is always coupled...

Im Focus: Das Proton präzise gewogen

Wie schwer ist ein Proton? Auf dem Weg zur möglichst exakten Kenntnis dieser fundamentalen Konstanten ist jetzt Wissenschaftlern aus Deutschland und Japan ein wichtiger Schritt gelungen. Mit Präzisionsmessungen an einem einzelnen Proton konnten sie nicht nur die Genauigkeit um einen Faktor drei verbessern, sondern auch den bisherigen Wert korrigieren.

Die Masse eines einzelnen Protons noch genauer zu bestimmen – das machen die Physiker um Klaus Blaum und Sven Sturm vom Max-Planck-Institut für Kernphysik in...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Operatortheorie im Fokus

20.07.2017 | Veranstaltungen

Technologietag der Fraunhofer-Allianz Big Data: Know-how für die Industrie 4.0

18.07.2017 | Veranstaltungen

DFG unterstützt Kongresse und Tagungen - September 2017

17.07.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

1,4 Millionen Euro für Forschungsprojekte im Industrie 4.0-Kontext

20.07.2017 | Förderungen Preise

Von photonischen Nanoantennen zu besseren Spielekonsolen

20.07.2017 | Physik Astronomie

Bildgebung von entstehendem Narbengewebe

20.07.2017 | Biowissenschaften Chemie