Cebit 2015: Wissen, was die App wirklich tut

Vor kurzem erklärte RiskIQ, ein Software-Unternehmen für IT-Sicherheit, dass es 350.000 Apps für Geldverkehr untersucht habe und bei über 40.000 Betrügereien vermutet. Weltweit hatte sich die Firma Apps von den 90 bekanntesten Plattformen heruntergeladen und diese analysiert.

Bei elf Prozent konnte sie feststellen, dass diese bösartige Funktionen ausführten. Sie lasen Kurznachrichten mit oder hebelten den Passwortschutz aus. All das geschah im Verborgenen, ohne dass der jeweilige Benutzer dies bemerken konnte.

Saarbrücker Informatiker haben nun eine Software entwickelt, die solche bösartigen Apps frühzeitig entdecken kann. Dazu untersucht die Software den Programmcode und konzentriert sich auf Stellen, an denen die Apps auf personenbezogene Daten zugreifen oder diese versenden. Erkennt die Software, dass der Zugriff auf Daten mit dem späteren Versenden der Daten zusammenhängt, meldet sie die entsprechende Abfolge von Programm-Befehlen als verdächtig.

„Stellen Sie sich vor, Ihr Adressbuch wird ausgelesen und hunderte Instruktionen später an eine unbekannte Webseite gesendet“, erklärt Erik Derr. Er ist Doktorand an der Informatik-Graduiertenschule der Universität des Saarlandes und forscht am Saarbrücker Kompetenzzentrum für IT-Sicherheit (CISPA). Die von ihm entwickelte Software findet heraus, welche Website eine App kontaktiert hat oder an welche Telefonnummer eine Kurznachricht geschickt wurde.

Um einen funktionellen Zusammenhang zwischen Datenquelle und Empfänger zu erkennen, nutzen die Saarbrücker Forscher neueste Methoden der Informationsflussanalyse. Damit die Software zwischen guter und böser App unterscheiden kann, lassen die Wissenschaftler sie vorab eine Liste verdächtiger Zugriffskombinationen auf Programmierschnittstellen lernen. Zusätzlich füttern die Forscher sie mit Details bereits bekannter Angriffe.

„Es hilft unter anderem, die Telefonnummern von teuren Premiumdiensten zu kennen. Wird einer von diesen ohne Einwilligung des Anwenders angerufen, ist der Betrug offensichtlich“, sagt Derr. Da das Verfahren rechenintensiv ist und auch viel Speicher benötigt, läuft die Software auf einem eigenen Server. „Im Durchschnitt benötigt unsere Software 25 Minuten pro App“, so Derr.

Bisher haben die Forscher rund 23.000 Apps getestet. Auf diese Weise könnten auch Endanwender von diesem Ansatz profitieren. „Man könnte die App auf dem Server analysieren und die Ergebnisse dann auf dem Smartphone anzeigen. Noch besser wäre es natürlich, diesen Prozess direkt in einen App Store zu integrieren“, erklärt Erik Derr. Unter anderem deswegen sind die Saarbrücker Forscher bereits mit dem US-amerikanischen Online-Versandhändler Amazon im Gespräch. „Google ist natürlich auch denkbar“, so Derr.

Hintergrund Saarbrücker Informatik
Den Kern der Saarbrücker Informatik bildet die Fachrichtung Informatik an der Universität des Saarlandes. In unmittelbarer Nähe forschen auf dem Campus sieben weitere weltweit renommierte Forschungsinstitute. Neben den beiden Max-Planck-Instituten für Informatik und Softwaresysteme sind dies das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI), das Zentrum für Bioinformatik, das Intel Visual Computing Institute, das Center for IT-Security, Privacy and Accountability (CISPA) und der Exzellenzcluster „Multimodal Computing and Interaction“.

Fragen beantwortet:
Erik Derr
Universität des Saarlandes
Center for IT-Security, Privacy and Accountability (CISPA)
Tel.: +49 681 302 57368
E-Mail: derr(at)cs.uni-saarland.de

Redaktion:
Gordon Bolduan
Wissenschaftskommunikation
Kompetenzzentrum Informatik Saarland
Tel: +49 681 302-70741
E-Mail: bolduan(at)mmci.uni-saarland.de

Hinweis für Hörfunk-Journalisten: Sie können Telefoninterviews in Studioqualität mit Wissenschaftlern der Universität des Saarlandes führen, über Rundfunk-Codec (IP-Verbindung mit Direktanwahl oder über ARD-Sternpunkt 106813020001). Interviewwünsche bitte an die Pressestelle (0681/302-2601).