Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Hybrid-Apps als Einfallstor für Angriffe auf Unternehmen

06.10.2017

Immer mehr Hybrid-Apps im Einsatz – diese bringen Risiken der Webtechnologie auf Unternehmens-Smartphones. Die Experten für mobile Sicherheit des Fraunhofer-Instituts für Sichere Informationstechnologie SIT zeigen die App-Testlösung „Appicaptor“ und neue Untersuchungsergebnisse zu App-Sicherheit vom 10. bis 12. Oktober auf der it-sa in Nürnberg (Halle 9 Stand 410).

Viele, auch seriöse, mobile Apps haben schwerwiegende Sicherheitslücken in der Programmierung, die Angreifer ausnutzen und somit große Schäden für Unternehmen anrichten können. Besonders anfällig für Angriffe sind Hybrid-Apps, die auf unterschiedlichen mobilen Betriebssystemen laufen. Das ist das Ergebnis des neuen Appicaptor Security Index des Fraunhofer SIT, der sich dieses Jahr besonders auf die Sicherheitsanalyse der Hybrid-Apps konzentriert.


Geblacklistete Android-Top 2000-Apps nach Kategorien - 9/2017

Fraunhofer SIT


Geblacklistete iOS-Top 2000-Apps nach Kategorien - 9/2017

Fraunhofer SIT

Plattformübergreifende, also Hybrid-Apps, nutzen Webtechnologien wie HTML und JavaScript. Damit importieren sie auch die Sicherheitsnachteile dieser Technologien vom Browser in die Apps – wo sie ungleich gravierendere Schäden für Unternehmen anrichten können, da durch die App-Schnittstellen zum Betriebssystem auch weitere Unternehmensdaten und Sensoren aus dem Smartphone angreifbar werden.

„Hybrid-Apps sind aufgrund des fehlenden Integritätsschutzes der Anwendungslogik für den Unternehmenseinsatz besonders kritisch zu sehen“, sagt Dr. Jens Heider, Leiter des Testlabors für mobile Sicherheit am Fraunhofer SIT. Allerdings sind diese Apps bei Entwicklern sehr beliebt, da eine Anwendung nur einmal programmiert werden muss und dann plattformübergreifend läuft, was Zeit und Kosten sparen soll. „Wir haben eine Zunahme an verwundbaren Hybrid-Apps in den unterschiedlichen App-Stores festgestellt“, sagt Jens Heider.

Darüber hinaus wird eine Untersuchung dieser Apps erschwert, da ein Mix aus JavaScript und nativem Code genutzt wird. „Gerade Schwächen von JavaScript-Code werden bei vielen App-Analysen häufig nicht ausreichend berücksichtigt.“, erklärt Jens Heider. Hier haben die Fraunhofer-Forscher ihre Analysemethoden erweitert und so angepasst, dass auch Hybrid-Apps automatisiert untersucht werden können.

Laut dem Appicaptor Security Index ist es zudem auffällig, dass Hybrid-App-Entwickler überwiegend auf die Nutzung bestehender Schutzmaßnahmen in ihren Apps verzichten und Bibliotheken mit bekannten Sicherheitslücken einsetzen – sei es aus Zeitdruck oder Unkenntnis.

Die Fraunhofer-Sicherheitsforscher haben jeweils die 2000 Top-Apps für die mobilen Betriebssysteme Android und iOS automatisiert untersucht. „Smartphone-Nutzer, die Apps mit einer schlechten Sicherheitsqualität nutzen, können über Schwachstellen dieser Apps Opfer von Angriffen Dritter werden, ohne explizite App-Malware installiert zu haben.“, erklärt Jens Heider. Dabei können Angreifer gravierende Schäden anrichten, je nachdem, über welche Berechtigungen die anfällige App verfügt:

„Hat eine App etwa Zugriff auf Mikrofon und Dateisystem, kann eine seriöse Nachrichten-App zu einer Wanze umfunktioniert werden“. Unter Android kann ein Angreifer in diesem Fall auch unbemerkt Inhalte wie interne Fotos oder vertrauliche PDF-Dokumente aus dem (externen) Dateisystem auslesen und in einen Cloud-Speicher des Angreifers kopieren. Laut Appicaptor Security Index sind zudem mehr als 70 Prozent der Apps zur Verwaltung von Dokumenten und Dateien nicht sicher genug, um in Unternehmen eingesetzt zu werden. So sind beispielsweise übermittelte oder gespeicherte Daten nicht hinreichend gegen den unbefugten Zugriff durch Dritte geschützt.

Auf der it-sa zeigen die Fraunhofer-Wissenschaftler die App-Testlösung Appicaptor, mit der sie die Apps untersucht haben. Appicaptor scannt automatisch große Mengen von beliebigen iOS- und Android-Apps, untersucht sie auf IT-Sicherheit und Einhaltung von Datenschutzvorgaben und bewertet, ob sie für den Unternehmens- oder Behördeneinsatz geeignet sind oder nicht. Dabei arbeitet Appicaptor wahlweise mit Standardregeln oder gibt Empfehlungen entsprechend den individuellen Sicherheitsvorgaben und -anforderungen. Die Tests können automatisch wöchentlich wiederholt werden, sodass auch Änderungen bei sehr häufig aktualisierten Apps stets berücksichtigt werden können.

Das Fraunhofer SIT zeigt auf der it-sa außerdem Lösungen für mehr IT-Sicherheit in der digitalisierten Industrie sowie die „Volksverschlüsselung“, eine einfache Verschlüsselungshilfe für jedermann.

Weitere Informationen:

http://www.sit.fraunhofer.de/it-sa2017 Fraunhofer SIT-Auftritt auf der it-sa 2017
http://www.sit.fraunhofer.de/securityindex2017 Appicaptor Security Index 2017:
http://www.appicaptor.de mehr Informationen zu Appicaptor

Oliver Küch | Fraunhofer-Institut für Sichere Informationstechnologie SIT

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Mit maschinellen Lernverfahren Anomalien frühzeitig erkennen und Schäden vermeiden
19.11.2018 | Fraunhofer-Institut für Algorithmen und Wissenschaftliches Rechnen SCAI

nachricht LTE-V2X-Direktkommunikation für mehr Verkehrssicherheit
15.11.2018 | FOKUS - Fraunhofer-Institut für Offene Kommunikationssysteme

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: InSight: Touchdown auf dem Mars

Am 26. November landet die NASA-Sonde InSight auf dem Mars. Erstmals wird sie die Stärke und Häufigkeit von Marsbeben messen.

Monatelanger Flug durchs All, flammender Abstieg durch die Reibungshitze der Atmosphäre und sanftes Aufsetzen auf der Oberfläche – siebenmal ist das Kunststück...

Im Focus: Weltweit erstmals Entstehung von chemischen Bindungen in Echtzeit beobachtet und simuliert

Einem Team von Physikern unter der Leitung von Prof. Dr. Wolf Gero Schmidt, Universität Paderborn, und Prof. Dr. Martin Wolf, Fritz-Haber-Institut Berlin, ist ein entscheidender Durchbruch gelungen: Sie haben weltweit zum ersten Mal und „in Echtzeit“ die Änderung der Elektronenstruktur während einer chemischen Reaktion beobachtet. Mithilfe umfangreicher Computersimulationen haben die Wissenschaftler die Ursachen und Mechanismen der Elektronenumverteilung aufgeklärt und visualisiert. Ihre Ergebnisse wurden nun in der renommierten, interdisziplinären Fachzeitschrift „Science“ veröffentlicht.

„Chemische Reaktionen sind durch die Bildung bzw. den Bruch chemischer Bindungen zwischen Atomen und den damit verbundenen Änderungen atomarer Abstände...

Im Focus: Rasende Elektronen unter Kontrolle

Die Elektronik zukünftig über Lichtwellen kontrollieren statt Spannungssignalen: Das ist das Ziel von Physikern weltweit. Der Vorteil: Elektromagnetische Wellen des Licht schwingen mit Petahertz-Frequenz. Damit könnten zukünftige Computer eine Million Mal schneller sein als die heutige Generation. Wissenschaftler der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) sind diesem Ziel nun einen Schritt nähergekommen: Ihnen ist es gelungen, Elektronen in Graphen mit ultrakurzen Laserpulsen präzise zu steuern.

Eine Stromregelung in der Elektronik, die millionenfach schneller ist als heutzutage: Davon träumen viele. Schließlich ist die Stromregelung eine der...

Im Focus: UNH scientists help provide first-ever views of elusive energy explosion

Researchers at the University of New Hampshire have captured a difficult-to-view singular event involving "magnetic reconnection"--the process by which sparse particles and energy around Earth collide producing a quick but mighty explosion--in the Earth's magnetotail, the magnetic environment that trails behind the planet.

Magnetic reconnection has remained a bit of a mystery to scientists. They know it exists and have documented the effects that the energy explosions can...

Im Focus: Eine kalte Supererde in unserer Nachbarschaft

Der sechs Lichtjahre entfernte Barnards Stern beherbergt einen Exoplaneten

Einer internationalen Gruppe von Astronomen unter Beteiligung des Max-Planck-Instituts für Astronomie in Heidelberg ist es gelungen, beim nur sechs Lichtjahre...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Personalisierte Implantologie – 32. Kongress der DGI

19.11.2018 | Veranstaltungen

Internationale Konferenz diskutiert digitale Innovationen für die öffentliche Verwaltung

19.11.2018 | Veranstaltungen

Naturkonstanten als Hauptdarsteller

19.11.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Gen-Radiergummi: Neuer Behandlungsansatz bei chronischen Erkrankungen

19.11.2018 | Biowissenschaften Chemie

Mit maschinellen Lernverfahren Anomalien frühzeitig erkennen und Schäden vermeiden

19.11.2018 | Informationstechnologie

Neuer Stall ermöglicht innovative Forschung für tiergerechte Haltungssysteme

19.11.2018 | Agrar- Forstwissenschaften

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics