Mobilgeräte-Apps sind immer häufiger Einfallstor für Betrug und Spionage, warnen die Informatiker des Kompetenzzentrums für IT-Sicherheit (CISPA) der Universität des Saarlandes. Deshalb haben sie eine Software entwickelt, die anzeigt, ob Apps auf vertrauliche Daten zugreifen und was sie mit diesen anstellen.
Satire: Datenschutz ist das neue Schwarz
Deutsche Telekom: Verschlüsselt kommunizieren – mobil und ins Festnetz
Matrix42: Zentrale Verwaltung privater und geschäftlicher Mobilgeräte
Good Technology: Doppelt gesicherte Android-Plattform für den Geschäftseinsatz
Kaspersky Lab: Mobile-Security-Management: Mobilgerätepolizei
Mobileiron: Schutz von Unternehmensdaten auf privaten Endgeräten
Kaseya: Mobilitäts-Management mit Private-Cloud-Infrastruktur
Die Software der Saarbrücker Informatiker dient dazu, informationshungrige Apps frühzeitig zu entdecken. Dazu, so das CISPA, untersuche die Software den Programmcode und konzentriere sich auf Stellen, an denen die Apps auf personenbezogene Daten zugreifen oder diese versenden. Erkennt die Software, dass der Zugriff auf Daten mit dem späteren Versenden der Daten zusammenhängt, melde sie die entsprechende Abfolge von Programmbefehlen als verdächtig.
„Stellen Sie sich vor, Ihr Adressbuch wird ausgelesen und Hunderte Instruktionen später an eine unbekannte Web-Seite gesendet“, erklärt Erik Derr, Doktorand an der Informatik-Graduiertenschule der Universität des Saarlandes und Forscher am CISPA. Die von ihm entwickelte Software finde heraus, welche Website eine App kontaktiert hat oder an welche Telefonnummer eine Kurznachricht geschickt wurde.
Um einen Zusammenhang zwischen Datenquelle und Empfänger zu erkennen, nutzen die Saarbrücker Forscher laut eigenen Angaben Methoden der Informationsflussanalyse. Damit die Software zwischen guter und böser App unterscheiden kann, lasse man sie vorab eine Liste verdächtiger Zugriffskombinationen auf Programmierschnittstellen lernen, ergänzt um Angaben zu bereits bekannten Angriffen.
„Es hilft unter anderem, die Telefonnummern von teuren Premiumdiensten zu kennen. Wird einer von diesen ohne Einwilligung des Anwenders angerufen, ist der Betrug offensichtlich“, sagt Derr.
Da das Verfahren rechenintensiv ist und auch viel Speicher benötigt, laufe die Software auf einem eigenen Server. „Im Durchschnitt benötigt unsere Software 25 Minuten pro App“, so Derr. Bisher haben die Forscher laut Verlautbarung der Uni Saarland rund 23.000 Apps getestet.
„Man könnte die App auf dem Server analysieren und die Ergebnisse dann auf dem Smartphone anzeigen. Noch besser wäre es natürlich, diesen Prozess direkt in einen App Store zu integrieren“, so CISPA-Forscher Derr. Unter anderem deswegen sind die Saarbrücker Forscher bereits mit dem US-amerikanischen Online-Versandhändler Amazon im Gespräch. „Google ist natürlich auch denkbar“, so Derr. Die Forscher zeigen ihr weiterentwickeltes Verfahren auf der CeBIT (Halle 9, Stand E13).