Suchen

Security Testing für mobile Anwendungen

App-Entwickler achten zu wenig auf Sicherheit

Seite: 2/3

Firmen zum Thema

Mobile Sicherheit – das sind die potentiellen Schwachstellen

Grundsätzlich lassen sich die größten mobilen Sicherheitsprobleme in folgende Bereiche unterteilen:

1. Fehler bei der Entwicklung der App: Zu den Fehlern, die Entwickler beim Programmieren einer App verschulden können, gehören Lücken im Code und mangelnde Vorkehrungen zum Schutz der Daten in der App; von der Autentifizierung über den Datenschutz bis hin zum Export der Daten aus dem Programm. Daneben muss auch sichergestellt sein, dass die Bedienung der App den Nutzer nicht zu Fehlern verleitet, die letzten Endes zu Sicherheitsproblemen führen.

2. Datenübertragung und sicheres Speichern in der Cloud: Ein spezielles Problem, dem sich App-Entwickler stellen müssen, ist die Datenübertragung. Weil sie über verschiedene Netzwerke erfolgen kann, bringt sie jeweils ein eigenes Set an Sicherheitsproblemen mit sich.

Auch wenn App-Entwickler keinen direkten Einfluss auf die Sicherheitsvorkehrungen mobiler Netzwerke haben, sollten sie sicherstellen, dass sie für ihre Nutzer die beste Option auswählen und auf Verschlüsselung setzen. Dasselbe gilt für das Abspeichern der Daten in der Cloud, da Server und die entsprechenden Sicherheitsvorkehrungen oft außerhalb der Kontrolle des App-Entwicklers liegen.

3. Externe Angreifer und allgemeine Schwachstellen: Selbst wenn Entwickler alles Menschenmögliche getan haben, um den Code und die Datenübertragung so sicher wie möglich zu gestalten, sollten sie sich über die gängigsten Angriffsarten von Außenstehenden bewusst sein. Zu den häufigsten und gefährlichsten Sicherheits-Exploits zählen:

  • Denial of Service (DoS): Diese Attacke setzt voraus, dass jemand böswillig agiert und damit einen Computer davon abhält, einen beabsichtigten Service auszuführen. In den meisten Fällen steht hinter einer DoS-Attacke eine Vielzahl von Menschen, die eine Website mit dem gemeinsamen Ziel angreifen, sie in ihrer Funktionalität für den Nutzer zu stören. Ziele sind häufig Anwendungen, die auf großen Webservern gehostet werden (z.B. Banken, Kreditkarten oder Regierungsangebote).
  • Pufferüberlauf: Dabei handelt es sich um einen komplexen Angriff, um eine Desktop-, Web- oder Mobile-App dazu zu bringen, böswilligen Code auszuführen. Ein Überlauf tritt auf, wenn ein Programm die Eingabe auch noch nach dem Ende des jeweiligen Puffers erlaubt. So könnte ein Angreifer letztlich die Kontrolle über ein gesamtes Betriebssystem erlangen. Viele berühmte Exploits sind Ergebnis eines Pufferüberlaufs.
  • Man-in-the-Middle-Angriff: Hierbei erschleicht sich ein Angreifer die Kontrolle über den Datenverkehr zwischen zwei oder mehr Netzwerkteilnehmern, indem er sich unbemerkt zwischen die beiden schaltet.
  • Code-Injektion: Bei der Code-Injektion geht es darum, externen Code in ein Programm einzuschleusen, um diesen heimlich unter dem Deckmantel dieses
  • anderen Programms auszuführen.
  • Data Leaks: Diese Schwachstelle tritt dann auf, wenn kleine Spuren von Datensätzen an verschiedenen Stellen zurückbleiben, ohne dass Entwickler davon Notiz nehmen. Caches, Protokolle und temporäre Dateien gehören häufig zu den Übeltätern.

(ID:43049256)