Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Mobile Web-Apps bieten Einfallstore für Datenspione (2)

03.03.2014

Informatiker der Uni Bremen testen mobile Web-Apps von namhaften Software-Herstellern mit dem Ergebnis: Zahlreiche Schwachstellen eröffnen die Möglichkeit, das Smartphone zu knacken.

Apps sind angesagt. Die Marktforscher von Gartner verzeichneten in 2013 weltweit 102 Milliarden Downloads aus allen App-Stores. Das schnelle Geschäft mit kurzen Entwicklungszeiten geht jedoch oft auf Kosten der Sicherheit, selbst bei Apps von großen Konzernen oder Banken. Wie sicher sind mobile Web-Apps eigentlich und welches sind die zentralen Schwachstellen?

Dieser Frage sind Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen auf den Grund gegangen. Sie haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und dann zum einen das Kommunikationsverhalten und zum anderen den Softwarecode analysiert.

Berechtigungen ermöglichen Spionen das Abgreifen von Daten

„Wir finden immer wieder zwei Einfallstore für Datenspione“, sagt TZI-Mitarbeiter Karsten Sohr. Zum einen fordern die Apps eine lange Liste von Berechtigungen, von denen viele gar nicht für die Funktionalität benötigt werden. Ein Beispiel ist die App eines großen Konzerns, über die Konzernnachrichten verbreitet werden.

„Insgesamt 22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet. Doch das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen. Das Perfide dabei: Der Nutzer bemerkt davon nichts“, sagt Christian Liebig, der am TZI seine Masterarbeit über das Thema schreibt.

Einspeisen von Schadsoftware durch Lücken in der SSL-Verschlüsselung

Das andere Einfallstor ist die sichere Verschlüsselung nach dem SSL-Standard. „Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert“, erläutert Sohr. Das Problem ist jedoch, dass Datenspionen eine minimale Sicherheitslücke im Softwarecode einer App ausreicht, um Java-Code einzuspeisen und das Smartphone übernehmen zu können.

„Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden“, berichtet Liebig. Basis für sehr viele Apps ist das Framework Cordova von Apache. Es kann von Programmierern ohne großen Aufwand für die verschiedenen App-Stores angepasst werden, fordert aber standardmäßig viele Berechtigungen.

„Doch wer Cordova einsetzt, muss den gesamten Softwarecode sicher machen. Und er muss sich die Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der App unerlässlich sind“, sagt Liebig. Um Programmierern zu helfen, hat TZI-Kollege Bernhard Berger ein Tool entwickelt, mit dem sich jetzt Cordova-Apps für Android automatisiert auf Lücken testen lassen.

Weitere Informationen:

Universität Bremen
Technologie-Zentrum Informatik und Informationstechnik (TZI)
Karsten Sohr
Tel. 0421 218-63922
E-Mail: sohr@tzi.de
oder
Knut Köstergarten
Tel. 0421 3800353
Mobil: 0176 28059267
E-Mail: koestergarten@wortpiraten.de

Eberhard Scholz | idw - Informationsdienst Wissenschaft
Weitere Informationen:
http://www.uni-bremen.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht IT-Sicherheit beim autonomen Fahren
22.06.2018 | Fachhochschule St. Pölten

nachricht Schneller und sicherer Fliegen
21.06.2018 | Fachhochschule St. Pölten

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Leichter abheben: Fraunhofer LBF entwickelt Flugzeugrad aus Faser-Kunststoff-Verbund

Noch mehr Reichweite oder noch mehr Nutzlast - das wünschen sich Fluggesellschaften für ihre Flugzeuge. Wegen ihrer hohen spezifischen Steifigkeiten und Festigkeiten kommen daher zunehmend leichte Faser-Kunststoff-Verbunde zum Einsatz. Bei Rümpfen oder Tragflächen sind permanent Innovationen in diese Richtung zu beobachten. Um dieses Innovationsfeld auch für Flugzeugräder zu erschließen, hat das Fraunhofer-Institut für Betriebsfestigkeit und Systemzuverlässigkeit LBF jetzt ein neues EU-Forschungsvorhaben gestartet. Ziel ist die Entwicklung eines ersten CFK-Bugrads für einen Airbus A320. Dabei wollen die Forscher ein Leichtbaupotential von bis zu 40 Prozent aufzeigen.

Faser-Kunststoff-Verbunde sind in der Luftfahrt bei zahlreichen Bauteilen bereits das Material der Wahl. So liegt beim Airbus A380 der Anteil an...

Im Focus: IT-Sicherheit beim autonomen Fahren

FH St. Pölten entwickelt neue Methode für sicheren Informationsaustausch zwischen Fahrzeugen mittels Funkdaten

Neue technische Errungenschaften wie das Internet der Dinge oder die direkte drahtlose Kommunikation zwischen Objekten erhöhen den Bedarf an effizienter...

Im Focus: Innovative Handprothesensteuerung besteht Alltagstest

Selbstlernende Steuerung für Handprothesen entwickelt. Neues Verfahren lässt Patienten natürlichere Bewegungen gleichzeitig in zwei Achsen durchführen. Forscher der Universitätsmedizin Göttingen (UMG) veröffentlichen Studie im Wissenschaftsmagazin „Science Robotics“ vom 20. Juni 2018.

Motorisierte Handprothesen sind mittlerweile Stand der Technik bei der Versorgung von Amputationen an der oberen Extremität. Bislang erlauben sie allerdings...

Im Focus: Temperaturgesteuerte Faser-Lichtquelle mit flüssigem Kern

Die moderne medizinische Bildgebung und neue spektroskopische Verfahren benötigen faserbasierte Lichtquellen, die breitbandiges Laserlicht im nahen und mittleren Infrarotbereich erzeugen. Wissenschaftlerinnen und Wissenschaftler des Leibniz-Instituts für Photonische Technologien Jena (Leibniz-IPHT) zeigen in einer aktuellen Veröffentlichung im renommierten Fachblatt Optica, dass sie die optischen Eigenschaften flüssigkeitsgefüllter Fasern und damit die Bandbreite des Laserlichts gezielt über die Umgebungstemperatur steuern können.

Das Besondere an den untersuchten Fasern ist ihr Kern. Er ist mit Kohlenstoffdisulfid gefüllt - einer flüssigen chemischen Verbindung mit hoher optischer...

Im Focus: Temperature-controlled fiber-optic light source with liquid core

In a recent publication in the renowned journal Optica, scientists of Leibniz-Institute of Photonic Technology (Leibniz IPHT) in Jena showed that they can accurately control the optical properties of liquid-core fiber lasers and therefore their spectral band width by temperature and pressure tuning.

Already last year, the researchers provided experimental proof of a new dynamic of hybrid solitons– temporally and spectrally stationary light waves resulting...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Leben im Plastikzeitalter: Wie ist ein nachhaltiger Umgang mit Plastik möglich?

21.06.2018 | Veranstaltungen

Kongress BIO-raffiniert X – Neue Wege in der Nutzung biogener Rohstoffe?

21.06.2018 | Veranstaltungen

DFG unterstützt Kongresse und Tagungen im August 2018

20.06.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Leichter abheben: Fraunhofer LBF entwickelt Flugzeugrad aus Faser-Kunststoff-Verbund

22.06.2018 | Materialwissenschaften

Lernen und gleichzeitig Gutes tun? Baufritz macht‘s möglich!

22.06.2018 | Unternehmensmeldung

GFOS und skip Institut entwickeln gemeinsam Prototyp für Augmented Reality App für die Produktion

22.06.2018 | Unternehmensmeldung

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics