Cloud-Konferenz 2013 – Interview mit Mario Hoffmann, Fraunhofer AISEC

Android Apps auf Herz und Nieren durchleuchten

| Autor / Redakteur: Das Interview führte Stephan Augsten / Stephan Augsten

Security-Insider.de: Manche Entwickler integrieren Ad-Frameworks in ihre Apps, um mit Werbung Geld zu verdienen. Erkennt App-Ray auch Datenspionage und andere Sicherheitsverletzungen durch solche Drittanbieter-Komponenten?

Hoffmann: Die bedenkenlose Integration von Ad-Frameworks ist in der Tat das momentan größte Problem. Nach einem Artikel von MWR Labs hat das Unternehmen Ende Juli die 100 populärsten Apps im Google Play Store auf das Problem der Ad-Frameworks hin untersucht. Von diesen 100 Apps benutzen 79 Werbung zur Refinanzierung, 62 Apps hält MWR Labs für potenziell angreifbar.

Die Sicherheitsfirma FireEye ist nach eigenen Angaben ebenfalls einer Werbe-Bibliothek für Android-Apps auf die Schliche gekommen, die äußerst gefährlich für die Nutzer der Apps sein kann. Machten sich Kriminelle die Bibliothek zunutze, könnten sie aus der Ferne Code nachladen und ausführen, Einsicht in beliebige Dateien nehmen und die Geräte sogar zum Teil eines Botnetzes machen. Circa 200 Millionen Mal sollen die betroffenen Apps bisher heruntergeladen worden sein.

Die Erkennung von Datenspionage und anderer Sicherheitsverletzungen ist eine Kerneigenschaft von AppRay. Die App-Analyse schließt daher natürlich auch eingebettete Komponenten von Drittanbietern, wie Ad-Frameworks, mit ein. Das Kernproblem bei der Einbindung von Ad-Frameworks ist, dass sich einmal für eine bestimmte App erteilte Zugriffsrechte auch die darin enthaltenen Ad-Frameworks zunutze machen. Das ist für den Laien nicht mehr zu erkennen.

AppRay untersucht zu diesem Zweck Android-Apps u.a. auf Integrität und den Schutz der Privatsphäre; AppRay erkennt Datenabflüsse, identifiziert geldwerte Risiken und analysiert die Kommunikationssicherheit sowie die Handhabbarkeit. Dazu haben wir gegenwärtig 40 Einzelkriterien implementiert. Konkret können wir z.B. auf Code-Ebene feststellen, wie eine App den sogenannten Trust Manager implementiert.

Ergänzendes zum Thema
 
Über Herrn Hoffmann und das Fraunhofer AISEC

Der Trust Manager überprüft, ob ein Zertifikat oder eine Zertifikatskette, z.B. einer SSL-Verbindung, noch gültig ist. Ist dieser Programmteil leer, und das ist nach unseren Analysen meistens der Fall, läuft natürlich auch die Überprüfung der SSL-Zertifikate ins Leere. Entsprechender Kommunikationsschutz und Authentizität der Partner ist dann nicht mehr gewährleistet.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 42364395 / Mobile Security)