Hacker nutzen Apps zum Datendiebstahl

Schwachstelle App-Entwicklung

30. Juni 2015, 6:00 Uhr | Tony Anscombe, Senior Security Evangelist bei AVG, www.avg.com./wg

Die großen App-Stores von Google, Microsoft und Apple schützen ihre privaten und Business-Nutzer durch strenge Sicherheitsvorschriften und Kontrollen vor dem Herunterladen und Installieren von Malware. Dass dies nicht immer funktioniert, zeigte jüngst der Fall der "Dubsmash 2"-Malware, die Kriminelle als App in den Google Play Store eingeschleust hatten. Als weiteren Weg, um App Stores zur Verbreitung ihrer Schadprogramme zu nutzen, verwenden Kriminelle Schwachstellen in nicht-bösartigen Apps. Entwickler und Stores müssen in Zukunft stärker zusammenarbeiten, um dieses Risiko zu minimieren.

Dubsmash 2 gab vor, eine neue Version der beliebten App Dubsmash zu sein, mit der Anwender selbstgedrehte Videos mit Liedern hinterlegen und ins Web hochladen können. Die Malware hingegen öffnet selbstständig Pornoseiten, um Aufrufe der dort geschalteten Werbung zu simulieren. Zwar wurde die App mittlerweile aus dem Store entfernt, doch zeigt der Fall, wie schnell Angreifer Sicherheitsmaßnahmen der App Stores umgehen können.
Dezentralisierte und offene Distributionsplattformen ermöglichten es Kriminellen in der Vergangenheit, ihre Schadprogramme vergleichsweise einfach in die App Stores hochzuladen und darüber zu verteilen. Dieses Problem haben die großen Betreiber erkannt: Durch eine zentralisierte Verteilung der Apps verhindern Google Play, der Apple App Store und Microsoft Windows Apps, dass mobile Geräte der Millionen von Benutzern infiziert werden. Zusätzlich haben sie strenge Sicherheitsvorschriften und Kontrollen implementiert. Beispielsweise kann das Smartphone eines Anwenders Informationen über eine Android-App und ihre Herkunft an Google senden, wo anhand einer Datenbank der Abgleich mit bekannter Malware erfolgt. So lässt sich ermitteln, ob diese App ein Sicherheitsrisiko darstellt. In dem Fall erhält der Benutzer eine Warnung, oder Google blockiert die Installation auf dem Gerät, wenn die App schädlich für das Gerät, Daten oder den Benutzer sein kann. Auch Apple und Microsoft bieten vergleichbare Funktionen. Da der direkte Weg über die App Stores versperrt ist, nutzen Kriminelle nun vermehrt bestehende Lücken in nicht-bösartigen Apps. Nichtsahnende Anwender laden dann die als sicher eingestuften Apps aus den Stores auf ihre privaten oder beruflich genutzten Endgeräte.
 
Schwachstellenarten
Drei Arten von Schwachstellen machen es Betrügern besonders leicht, unbefugt auf Daten zuzugreifen. Eine davon liegt in der Datenübermittlung. Um Updates einzuspeisen oder Lizenzen zu überprüfen, empfangen und übermitteln viele Apps Daten zwischen Servern im Netz und mobilen Endgeräten. Schwierig wird es, wenn Daten, die das mobile Endgerät verlassen, nicht ausreichend verschlüsselt sind. Dies ist insbesondere bei öffentlichen WLANs wie etwa an Flughäfen der Fall.
Viele Unternehmen sind sich der Relevanz einer sicheren Ende-zu-Ende-Verschlüsselung nicht bewusst. Zudem lassen manche es zu, dass private Geräte ohne passende Sicherheitsstrategie am Arbeitsplatz zum Einsatz kommen. Der Diebstahl von persönlichen Daten wie Passwörtern oder Kreditkartennummern ist nur eine mögliche Folge. Angreifer können auch den Datenverkehr zwischen Endgerät und Zielserver abfangen und auf den eigenen Server umleiten - ein großes Risiko besonders für Unternehmen, denn Kriminelle können so auch geschäftskritische Daten abfangen und weiterleiten. Eine Lösung, um diese Gefahr zu verringern, ist beispielsweise eine Zertifikatsprüfung auf dem Server, bei der Apps die Rechtmäßigkeit des Empfängers bestätigen müssen.
Die lokale Datenspeicherung stellt eine weitere Schwachstelle dar. Anfallende Daten werden häufig auf den Endgeräten zwischengespeichert. Dies erfolgt beispielsweise in Form von Logfiles, die das Verhalten des Benutzers innerhalb der App dokumentieren oder Berichte und Daten cachen. So lässt sich im besten Fall die App-Leistung erhöhen und die Nutzung für den Anwender vereinfachen.
Doch das lokale Speichern unverschlüsselter privater Daten verursacht Sicherheitsprobleme, da andere Applikationen auf diese Daten zugreifen und sie abrufen können. Auch Daten, die als verborgene Überbleibsel längst gelöschter Apps auf dem Gerät verbleiben, lassen sich so noch nach Jahren auslesen. Denn auch hier werden Nutzerhistorie und persönliche Daten nicht automatisch durch das Deinstallieren der Applikation entfernt. Deswegen ist es wichtig, beim Löschen von Apps darauf zu achten, auch lokal gespeicherte Dateien wie Chroniken oder Caches zu entfernen.
Ein weiteres Problem entsteht durch das Recycling von Softwarekomponenten aus bereits erschienenen Apps. Diese Wiederverwertung von Code-Bausteinen entsteht, da App-Entwickler unter ständigem Zeitdrucks stehen, aktuelle Versionen und neue Apps auf den Martk zu bringen. Daher verwenden sie App-Komponenten oder SDKs (Software Development Kits) von Drittanbietern. Da aus Zeit- und Budgetgründen oft keine Updates oder Schwachstellenprüfungen erfolgen, sind diese dann auch in den neuen Apps zu finden.
Ein Beispiel hierfür ist Android Webview. Mobile Apps können mit dem Tool Web-Inhalte anzeigen. Um diese herunterzuladen und auf dem mobilen Endgerät anzeigen zu können, verwenden viele Entwickler Komponenten von Webview. Diese sind jedoch erwiesenermaßen anfällig für Angriffe. Ein weiteres Beispiel ist das Dropbox Android SDK. Zur Integration ihrer Funktionen in Cloud-Storage-Systeme - etwa Photo-Apps oder Bezahlsysteme - verwenden viele Applikationen SDKs von Cloud-Storage-Providern. Im Dropbox Android SDK hat man jedoch eine Sicherheitslücke entdeckt, mit der Angreifer sensible Informationen lokal durch das Einschleusen von Malware wie auch durch Remote-Verbindungen entwenden können. Außerdem lassen sich natürlich menschliche Fehler bei der Konfiguration und Entwicklung des App-Codes nicht ausschließen, besonders da Betriebssysteme, Datenbanken, App-Aufbau und Plattformen immer komplexer werden.
Viele Probleme hängen damit zusammen, dass die App-Entwickler sich der Schwachstellen nicht bewusst sind. Bei der Entwicklung einer App stehen eher die Funktionalität und die Optik, weniger jedoch Sicherheitsaspekte im Vordergrund. Auch die gewünschte rasche Produkteinführung und die oftmals geringe Größe der Entwicklungsteams führen zu einer Anfälligkeit für Schwachstellen. So bleibt das Testen der Applikationen auf Schwachstellen oft auf der Strecke. Zudem bilden wirtschaftliche Faktoren Gründe für die Existenz von Schwachstellen. Es gibt tausende Apps, die der jeweilige Hersteller aufgrund mangelnder Wirtschaftlichkeit nicht mehr unterstützt und deren Schwachstellen somit unbehoben bleiben.
App-Entwickler können die Verbreitung von Schwachstellen mit wenigen Maßnahmen verringern. So sollten sie Software Development Kits genau überprüfen und sicheren Code verwenden. Im allgemeinen Qualitätssicherungsprozess sollten Sicherheitstests standardmäßig implementiert sein. Die Verwendung automatischer Scans hilft bei der frühzeitigen Aufdeckung von Sicherheitslücken, und das Entfernen unnötiger Funktionen im Code erleichtert es, Schwachstellen einzudämmen.
Auch die Store-Betreiber selbst müssen verhindern, betroffene Applikationen weiter zu verbreiten. Hier helfen zum Beispiel automatische Security Scanner, die einige Stores bereits nutzen, um anfällige Applikationen aufzudecken. Zudem gilt es, die Schwachstellen der SDKs zu beheben - unabhängig davon, ob die jeweils ursprüngliche Version noch unterstützt wird oder nicht. Denn deren Komponenten kommen noch in vielen anderen Applikationen zum Einsatz. Nur so lässt sich der Teufelskreis der sich durch SDKs weiterverbreitenden Schwachstellen stoppen. Eine weitere drastische Maßnahme, die App Stores ergreifen könnten, ist die Verbreitung der Apps zu stoppen, deren Entwickler nicht genügend Zeit oder Ressourcen investieren, um einen Patch für gefundene Schwachstellen zu entwickeln.
Zur Minimierung von Schwachstellen ist jedoch vor allem eine verbesserte Kommunikation zwischen den App Stores und den App-Entwicklern wichtig. So sollten Entwickler zum Beispiel umgehend Nachricht erhalten, wenn Schwachstellen in ihren Apps entdeckt wurden, damit sie schnell handeln können. Denn nur gemeinsam lassen sich die Schwachstellen langfristig schließen.

Die zehn größten Risiken für mobile Endgeräte 2014. Bild: OWASP

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Deutsche Telekom GB MWD OD14

Weitere Artikel zu Davidsmeyer & Paul GmbH Elektronik

Matchmaker+