Mobile Malware

Schwachstellen in geprüften Apps als Einfallstor

| Autor / Redakteur: Tony Anscombe* / Stephan Augsten

Probleme bei der Software-Entwicklung

Tony Anscombe: „Nur gemeinsam können App-Store-Betreiber und Software-Entwickler die Schwachstellen schließen.“
Tony Anscombe: „Nur gemeinsam können App-Store-Betreiber und Software-Entwickler die Schwachstellen schließen.“ (Bild: AVG)

Das Recycling von App-Komponenten kann ebenfalls zum Problem werden. App-Entwickler stehen unter dem ständigen Druck ihre Produkte möglichst schnell auf den Markt zu bringen. Daher verwenden sie App-Komponenten von Drittanbietern, so genannte Software Development Kits (SDKs). Die Toolkits werden jedoch aus Zeit- und Budgetgründen oft ohne Update oder Schwachstellen-Prüfung übernommen, sodass diese auch in neuen Apps bestehen bleiben.

Ein Beispiel hierfür ist etwa Android WebView. Mobile Apps können mit dem Tool Webinhalte anzeigen. Um diese Inhalte herunterzuladen und auf dem mobilen Endgerät anzeigen zu können, verwenden viele Entwickler Komponenten von WebView. Diese sind jedoch erwiesenermaßen anfällig für Attacken von Hackern.

Ein weiteres Beispiel ist der Dropbox Android SDK. Zur Integration ihrer Funktionen in Cloud Storage Systeme – wie etwa Photo-Apps oder Bezahlsysteme – verwenden viele Applikationen SDKs von Cloud Storage Providern. Beim Dropbox Android SDK wurde jedoch eine Sicherheitslücke entdeckt, mit der Hacker sensible Informationen sowohl lokal durch das Einschleusen von Malware als auch durch remote Verbindungen entwenden können.

Fehlendes Bewusstsein, zu wenig Entwicklungszeit

Fehlerhafte Codes sind nicht ausschließlich die Gründe für die Existenz der Schwachstellen. Viele Probleme hängen vielmehr damit zusammen, dass die App-Entwickler sich der Schwachstellen nicht bewusst sind. Denn bei der Entwicklung der App stehen eher Funktionalität und Optik als Sicherheitsaspekte im Vordergrund.

Auch das rasche „Go to Market“ und die oftmals geringe Größe der Entwicklungsteams führen zu einer Anfälligkeit für Schwachstellen, da so das Testen der Applikationen auf Schwachstellen oft auf der Strecke bleibt. Zudem spielen wirtschaftliche Faktoren eine Rolle. Es gibt tausende Apps, die aufgrund mangelnder Wirtschaftlichkeit nicht mehr unterstützt, aber weiter genutzt werden und deren Schwachstellen somit ebenfalls nicht behoben werden.

App-Entwickler können die Verbreitung von Schwachstellen mit unterschiedlichen Maßnahmen vermeiden: Wichtig ist, die SDKs als Drittanbieter-Komponenten genau zu prüfen und „Secure Code“ zu nutzen. Zur Qualitätssicherung sollten manuelle Sicherheitstests und automatische Scans gehören. Zudem sollten Entwickler unnötige Funktionen im Code entfernen und die Verbreitung von Apps, die nicht mehr mit Updates versorgt werden, im Idealfall stoppen.

Auch die Stores müssen weitere Maßnahmen ergreifen, um die Verbreitung betroffener Applikationen zu unterbinden. Etwa durch automatische Security Scanner, die einige Stores bereits verwenden. Mit deren Hilfe lassen sich anfällige Applikationen aufdecken.

Zudem sollten die Schwachstellen der SDKs behoben werden – unabhängig davon, ob die jeweils ursprüngliche Version noch unterstützt wird oder nicht. Denn ihre Komponenten werden noch in vielen anderen Applikationen genutzt. Nur so kann der Teufelskreis der sich durch SDKs weiterverbreitenden Schwachstellen gestoppt werden.

Vor allem ist jedoch eine verbesserte Kommunikation zwischen den App-Stores und den App-Entwickler wichtig. Nur gemeinsam lassen sich die Schwachstellen langfristig schließen.

* Tony Anscombe ist Senior Security Evangelist bei AVG Technologies.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43373192 / Softwareentwicklung)