Suchen

Mobile Malware

Schwachstellen in geprüften Apps als Einfallstor

Seite: 2/2

Firma zum Thema

Probleme bei der Software-Entwicklung

Tony Anscombe: „Nur gemeinsam können App-Store-Betreiber und Software-Entwickler die Schwachstellen schließen.“
Tony Anscombe: „Nur gemeinsam können App-Store-Betreiber und Software-Entwickler die Schwachstellen schließen.“
(Bild: AVG)

Das Recycling von App-Komponenten kann ebenfalls zum Problem werden. App-Entwickler stehen unter dem ständigen Druck ihre Produkte möglichst schnell auf den Markt zu bringen. Daher verwenden sie App-Komponenten von Drittanbietern, so genannte Software Development Kits (SDKs). Die Toolkits werden jedoch aus Zeit- und Budgetgründen oft ohne Update oder Schwachstellen-Prüfung übernommen, sodass diese auch in neuen Apps bestehen bleiben.

Ein Beispiel hierfür ist etwa Android WebView. Mobile Apps können mit dem Tool Webinhalte anzeigen. Um diese Inhalte herunterzuladen und auf dem mobilen Endgerät anzeigen zu können, verwenden viele Entwickler Komponenten von WebView. Diese sind jedoch erwiesenermaßen anfällig für Attacken von Hackern.

Ein weiteres Beispiel ist der Dropbox Android SDK. Zur Integration ihrer Funktionen in Cloud Storage Systeme – wie etwa Photo-Apps oder Bezahlsysteme – verwenden viele Applikationen SDKs von Cloud Storage Providern. Beim Dropbox Android SDK wurde jedoch eine Sicherheitslücke entdeckt, mit der Hacker sensible Informationen sowohl lokal durch das Einschleusen von Malware als auch durch remote Verbindungen entwenden können.

Fehlendes Bewusstsein, zu wenig Entwicklungszeit

Fehlerhafte Codes sind nicht ausschließlich die Gründe für die Existenz der Schwachstellen. Viele Probleme hängen vielmehr damit zusammen, dass die App-Entwickler sich der Schwachstellen nicht bewusst sind. Denn bei der Entwicklung der App stehen eher Funktionalität und Optik als Sicherheitsaspekte im Vordergrund.

Auch das rasche „Go to Market“ und die oftmals geringe Größe der Entwicklungsteams führen zu einer Anfälligkeit für Schwachstellen, da so das Testen der Applikationen auf Schwachstellen oft auf der Strecke bleibt. Zudem spielen wirtschaftliche Faktoren eine Rolle. Es gibt tausende Apps, die aufgrund mangelnder Wirtschaftlichkeit nicht mehr unterstützt, aber weiter genutzt werden und deren Schwachstellen somit ebenfalls nicht behoben werden.

App-Entwickler können die Verbreitung von Schwachstellen mit unterschiedlichen Maßnahmen vermeiden: Wichtig ist, die SDKs als Drittanbieter-Komponenten genau zu prüfen und „Secure Code“ zu nutzen. Zur Qualitätssicherung sollten manuelle Sicherheitstests und automatische Scans gehören. Zudem sollten Entwickler unnötige Funktionen im Code entfernen und die Verbreitung von Apps, die nicht mehr mit Updates versorgt werden, im Idealfall stoppen.

Auch die Stores müssen weitere Maßnahmen ergreifen, um die Verbreitung betroffener Applikationen zu unterbinden. Etwa durch automatische Security Scanner, die einige Stores bereits verwenden. Mit deren Hilfe lassen sich anfällige Applikationen aufdecken.

Zudem sollten die Schwachstellen der SDKs behoben werden – unabhängig davon, ob die jeweils ursprüngliche Version noch unterstützt wird oder nicht. Denn ihre Komponenten werden noch in vielen anderen Applikationen genutzt. Nur so kann der Teufelskreis der sich durch SDKs weiterverbreitenden Schwachstellen gestoppt werden.

Vor allem ist jedoch eine verbesserte Kommunikation zwischen den App-Stores und den App-Entwickler wichtig. Nur gemeinsam lassen sich die Schwachstellen langfristig schließen.

* Tony Anscombe ist Senior Security Evangelist bei AVG Technologies.

(ID:43373192)