Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Mobile Web-Apps bieten Einfallstore für Datenspione (2)

03.03.2014

Informatiker der Uni Bremen testen mobile Web-Apps von namhaften Software-Herstellern mit dem Ergebnis: Zahlreiche Schwachstellen eröffnen die Möglichkeit, das Smartphone zu knacken.

Apps sind angesagt. Die Marktforscher von Gartner verzeichneten in 2013 weltweit 102 Milliarden Downloads aus allen App-Stores. Das schnelle Geschäft mit kurzen Entwicklungszeiten geht jedoch oft auf Kosten der Sicherheit, selbst bei Apps von großen Konzernen oder Banken. Wie sicher sind mobile Web-Apps eigentlich und welches sind die zentralen Schwachstellen?

Dieser Frage sind Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen auf den Grund gegangen. Sie haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und dann zum einen das Kommunikationsverhalten und zum anderen den Softwarecode analysiert.

Berechtigungen ermöglichen Spionen das Abgreifen von Daten

„Wir finden immer wieder zwei Einfallstore für Datenspione“, sagt TZI-Mitarbeiter Karsten Sohr. Zum einen fordern die Apps eine lange Liste von Berechtigungen, von denen viele gar nicht für die Funktionalität benötigt werden. Ein Beispiel ist die App eines großen Konzerns, über die Konzernnachrichten verbreitet werden.

„Insgesamt 22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet. Doch das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen. Das Perfide dabei: Der Nutzer bemerkt davon nichts“, sagt Christian Liebig, der am TZI seine Masterarbeit über das Thema schreibt.

Einspeisen von Schadsoftware durch Lücken in der SSL-Verschlüsselung

Das andere Einfallstor ist die sichere Verschlüsselung nach dem SSL-Standard. „Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert“, erläutert Sohr. Das Problem ist jedoch, dass Datenspionen eine minimale Sicherheitslücke im Softwarecode einer App ausreicht, um Java-Code einzuspeisen und das Smartphone übernehmen zu können.

„Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden“, berichtet Liebig. Basis für sehr viele Apps ist das Framework Cordova von Apache. Es kann von Programmierern ohne großen Aufwand für die verschiedenen App-Stores angepasst werden, fordert aber standardmäßig viele Berechtigungen.

„Doch wer Cordova einsetzt, muss den gesamten Softwarecode sicher machen. Und er muss sich die Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der App unerlässlich sind“, sagt Liebig. Um Programmierern zu helfen, hat TZI-Kollege Bernhard Berger ein Tool entwickelt, mit dem sich jetzt Cordova-Apps für Android automatisiert auf Lücken testen lassen.

Weitere Informationen:

Universität Bremen
Technologie-Zentrum Informatik und Informationstechnik (TZI)
Karsten Sohr
Tel. 0421 218-63922
E-Mail: sohr@tzi.de
oder
Knut Köstergarten
Tel. 0421 3800353
Mobil: 0176 28059267
E-Mail: koestergarten@wortpiraten.de

Eberhard Scholz | idw - Informationsdienst Wissenschaft
Weitere Informationen:
http://www.uni-bremen.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Starre Bindungen für neue Smartphone-Datenspeicher
14.06.2019 | European XFEL GmbH

nachricht MPSD-Team entdeckt lichtinduzierte Ferroelektrizität in Strontiumtitanat
14.06.2019 | Max-Planck-Institut für Struktur und Dynamik der Materie

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: MPSD-Team entdeckt lichtinduzierte Ferroelektrizität in Strontiumtitanat

Mit Licht lassen sich Materialeigenschaften nicht nur messen, sondern auch verändern. Besonders interessant sind dabei Fälle, in denen eine fundamentale Eigenschaft eines Materials verändert werden kann, wie z.B. die Fähigkeit, Strom zu leiten oder Informationen in einem magnetischen Zustand zu speichern. Ein Team um Andrea Cavalleri vom Max-Planck-Institut für Struktur und Dynamik der Materie in Hamburg, hat nun Lichtimpulse aus dem Terahertz-Frequenzspektrum benutzt, um ein nicht-ferroelektrisches Material in ein ferroelektrisches umzuwandeln.

Ferroelektrizität ist ein Zustand, in dem die Atome im Kristallgitter eine bestimmte Richtung "aufzeigen" und dadurch eine makroskopische elektrische...

Im Focus: MPSD team discovers light-induced ferroelectricity in strontium titanate

Light can be used not only to measure materials’ properties, but also to change them. Especially interesting are those cases in which the function of a material can be modified, such as its ability to conduct electricity or to store information in its magnetic state. A team led by Andrea Cavalleri from the Max Planck Institute for the Structure and Dynamics of Matter in Hamburg used terahertz frequency light pulses to transform a non-ferroelectric material into a ferroelectric one.

Ferroelectricity is a state in which the constituent lattice “looks” in one specific direction, forming a macroscopic electrical polarisation. The ability to...

Im Focus: Konzert der magnetischen Momente

Forscher aus Deutschland, den Niederlanden und Südkorea haben in einer internationalen Zusammenarbeit einen neuartigen Weg entdeckt, wie die Elektronenspins in einem Material miteinander agieren. In ihrer Publikation in der Fachzeitschrift Nature Materials berichten die Forscher über eine bisher unbekannte, chirale Kopplung, die über vergleichsweise lange Distanzen aktiv ist. Damit können sich die Spins in zwei unterschiedlichen magnetischen Lagen, die durch nicht-magnetische Materialien voneinander getrennt sind, gegenseitig beeinflussen, selbst wenn sie nicht unmittelbar benachbart sind.

Magnetische Festkörper sind die Grundlage der modernen Informationstechnologie. Beispielsweise sind diese Materialien allgegenwärtig in Speichermedien wie...

Im Focus: Schwerefeldbestimmung der Erde so genau wie noch nie

Forschende der TU Graz berechneten aus 1,16 Milliarden Satellitendaten das bislang genaueste Schwerefeldmodell der Erde. Es liefert wertvolles Wissen für die Klimaforschung.

Die Erdanziehungskraft schwankt von Ort zu Ort. Dieses Phänomen nutzen Geodäsie-Fachleute, um geodynamische und klimatologische Prozesse zu beobachten....

Im Focus: Determining the Earth’s gravity field more accurately than ever before

Researchers at TU Graz calculate the most accurate gravity field determination of the Earth using 1.16 billion satellite measurements. This yields valuable knowledge for climate research.

The Earth’s gravity fluctuates from place to place. Geodesists use this phenomenon to observe geodynamic and climatological processes. Using...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Doc Data – warum Daten Leben retten können

14.06.2019 | Veranstaltungen

DFG unterstützt Kongresse und Tagungen - August 2019

13.06.2019 | Veranstaltungen

Künstliche Intelligenz in der Materialmikroskopie

13.06.2019 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

German Innovation Award für Rittal VX25 Schaltschranksystem

14.06.2019 | Förderungen Preise

Fraunhofer SCAI und Uni Bonn zeigen innovative Anwendungen und Software für das High Performance Computing

14.06.2019 | Messenachrichten

Autonomes Premiumtaxi sofort oder warten auf den selbstfahrenden Minibus?

14.06.2019 | Interdisziplinäre Forschung

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics