Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Mobile Web-Apps bieten Einfallstore für Datenspione (2)

03.03.2014

Informatiker der Uni Bremen testen mobile Web-Apps von namhaften Software-Herstellern mit dem Ergebnis: Zahlreiche Schwachstellen eröffnen die Möglichkeit, das Smartphone zu knacken.

Apps sind angesagt. Die Marktforscher von Gartner verzeichneten in 2013 weltweit 102 Milliarden Downloads aus allen App-Stores. Das schnelle Geschäft mit kurzen Entwicklungszeiten geht jedoch oft auf Kosten der Sicherheit, selbst bei Apps von großen Konzernen oder Banken. Wie sicher sind mobile Web-Apps eigentlich und welches sind die zentralen Schwachstellen?

Dieser Frage sind Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen auf den Grund gegangen. Sie haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und dann zum einen das Kommunikationsverhalten und zum anderen den Softwarecode analysiert.

Berechtigungen ermöglichen Spionen das Abgreifen von Daten

„Wir finden immer wieder zwei Einfallstore für Datenspione“, sagt TZI-Mitarbeiter Karsten Sohr. Zum einen fordern die Apps eine lange Liste von Berechtigungen, von denen viele gar nicht für die Funktionalität benötigt werden. Ein Beispiel ist die App eines großen Konzerns, über die Konzernnachrichten verbreitet werden.

„Insgesamt 22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet. Doch das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen. Das Perfide dabei: Der Nutzer bemerkt davon nichts“, sagt Christian Liebig, der am TZI seine Masterarbeit über das Thema schreibt.

Einspeisen von Schadsoftware durch Lücken in der SSL-Verschlüsselung

Das andere Einfallstor ist die sichere Verschlüsselung nach dem SSL-Standard. „Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert“, erläutert Sohr. Das Problem ist jedoch, dass Datenspionen eine minimale Sicherheitslücke im Softwarecode einer App ausreicht, um Java-Code einzuspeisen und das Smartphone übernehmen zu können.

„Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden“, berichtet Liebig. Basis für sehr viele Apps ist das Framework Cordova von Apache. Es kann von Programmierern ohne großen Aufwand für die verschiedenen App-Stores angepasst werden, fordert aber standardmäßig viele Berechtigungen.

„Doch wer Cordova einsetzt, muss den gesamten Softwarecode sicher machen. Und er muss sich die Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der App unerlässlich sind“, sagt Liebig. Um Programmierern zu helfen, hat TZI-Kollege Bernhard Berger ein Tool entwickelt, mit dem sich jetzt Cordova-Apps für Android automatisiert auf Lücken testen lassen.

Weitere Informationen:

Universität Bremen
Technologie-Zentrum Informatik und Informationstechnik (TZI)
Karsten Sohr
Tel. 0421 218-63922
E-Mail: sohr@tzi.de
oder
Knut Köstergarten
Tel. 0421 3800353
Mobil: 0176 28059267
E-Mail: koestergarten@wortpiraten.de

Eberhard Scholz | idw - Informationsdienst Wissenschaft
Weitere Informationen:
http://www.uni-bremen.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Textilherstellung für Weltraumantennen startet in die Industrialisierungsphase
28.05.2020 | Fraunhofer-Institut für Silicatforschung ISC

nachricht 3D-Gebärdensprach-Avatar als Sprachassistent zur automatisierten Gebärdenübersetzung
28.05.2020 | Universität Augsburg

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Neuartiges Covid-19-Schnelltestverfahren auf Basis innovativer DNA-Polymerasen entwickelt

Eine Forschungskooperation der Universität Konstanz unter Federführung von Professor Dr. Christof Hauck (Fachbereich Biologie) mit Beteiligung des Klinikum Konstanz, eines Konstanzer Diagnostiklabors und des Konstanzer Unternehmens myPOLS Biotec, einer Ausgründung aus der Arbeitsgruppe für Organische Chemie / Zelluläre Chemie der Universität Konstanz, hat ein neuartiges Covid-19-Schnelltestverfahren entwickelt. Dieser Test ermöglicht es, Ergebnisse in der Hälfte der Zeit zu ermitteln – im Vergleich zur klassischen Polymerase-Ketten-Reaktion (PCR).

Die frühe Identifikation von Patienten, die mit dem neuartigen Coronavirus (SARS-CoV-2) infiziert sind, ist zentrale Voraussetzung bei der globalen Bewältigung...

Im Focus: Textilherstellung für Weltraumantennen startet in die Industrialisierungsphase

Im Rahmen des EU-Projekts LEA (Large European Antenna) hat das Fraunhofer-Anwendungszentrum für Textile Faserkeramiken TFK in Münchberg gemeinsam mit den Unternehmen HPS GmbH und Iprotex GmbH & Co. KG ein reflektierendes Metallnetz für Weltraumantennen entwickelt, das ab August 2020 in die Produktion gehen wird.

Beim Stichwort Raumfahrt werden zunächst Assoziationen zu Forschungen auf Mond und Mars sowie zur Beobachtung ferner Galaxien geweckt. Für unseren Alltag sind...

Im Focus: Biotechnologie: Enzym setzt durch Licht neuartige Reaktion in Gang

In lebenden Zellen treiben Enzyme biochemische Stoffwechselprozesse an. Auch in der Biotechnologie sind sie als Katalysatoren gefragt, um zum Beispiel chemische Produkte wie Arzneimittel herzustellen. Forscher haben nun ein Enzym identifiziert, das durch die Beleuchtung mit blauem Licht katalytisch aktiv wird und eine Reaktion in Gang setzt, die in der Enzymatik bisher unbekannt war. Die Studie ist in „Nature Communications“ erschienen.

Enzyme – in jeder lebenden Zelle sind sie die zentralen Antreiber für biochemische Stoffwechselprozesse und machen dort Reaktionen möglich. Genau diese...

Im Focus: Biotechnology: Triggered by light, a novel way to switch on an enzyme

In living cells, enzymes drive biochemical metabolic processes enabling reactions to take place efficiently. It is this very ability which allows them to be used as catalysts in biotechnology, for example to create chemical products such as pharmaceutics. Researchers now identified an enzyme that, when illuminated with blue light, becomes catalytically active and initiates a reaction that was previously unknown in enzymatics. The study was published in "Nature Communications".

Enzymes: they are the central drivers for biochemical metabolic processes in every living cell, enabling reactions to take place efficiently. It is this very...

Im Focus: Innovative Sensornetze aus Satelliten

In Würzburg werden vier Kleinst-Satelliten auf ihren Start vorbereitet. Sie sollen sich in einer Formation bewegen und weltweit erstmals ihre dreidimensionale Anordnung im Orbit selbstständig kontrollieren.

Wenn ein Gegenstand wie der Planet Erde komplett ohne tote Winkel erfasst werden soll, muss man ihn aus verschiedenen Richtungen ansehen und die...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Gebäudewärme mit "grünem" Wasserstoff oder "grünem" Strom?

26.05.2020 | Veranstaltungen

Dresden Nexus Conference 2020 - Gleicher Termin, virtuelles Format, Anmeldung geöffnet

19.05.2020 | Veranstaltungen

Urban Transport Conference 2020 in digitaler Form

18.05.2020 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Wie sich Nervenzellen zum Abruf einer Erinnerung gezielt reaktivieren lassen

29.05.2020 | Biowissenschaften Chemie

Wald im Wandel

29.05.2020 | Agrar- Forstwissenschaften

Schwarzer Stickstoff: Bayreuther Forscher entdecken neues Hochdruck-Material und lösen ein Rätsel des Periodensystems

29.05.2020 | Materialwissenschaften

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics