Schwachstellen in geprüften Apps: Drei Wege, wie Hacker Nutzerdaten abgreifen

Auch wenn Apps meist nicht ungeprüft auf Smartphone und Tablet kommen – Hacker finden immer Wege, ihre Malware zu verbreiten.

Durch zentralisierte Plattformen und Sicherheitsvorschriften wollen App Stores verhindern, dass Hacker mit ihren Schadprogrammen die Computer von Millionen von Nutzern infizieren. Doch auch Hacker nutzen neue Techniken: Mithilfe von Schwachstellen in eigentlich harmlosen Applikationen schaffen sie es, weiterhin über Apps an die Daten der Nutzer zu gelangen.

Obwohl Google, Apple und Microsoft große Anstrengungen unternehmen, um Hacker davon abzuhalten, ihre Programme über die Stores zu verteilen, passiert es doch ab und an. Dies zeigt der aktuelle Fall der Malware Dubsmash 2, die Cyberkriminelle als App in den Google Play Store einschleusten und die vorgab, eine neue Version der beliebten App Dubsmash zu sein. 

Tony Anscombe,
Senior Security Evangelist,
AVG Technologies

Mit der echten App können Millionen Anwender eigentlich kurze, selbstgedrehte Videoszenen mit Liedern unterlegen und diese als Kurzvideos im Netz hochladen.

Auch die strengen Sicherheitsvorschriften und Kontrollen der Stores bieten also keinen vollständigen Schutz; etwa indem das Endgerät eines Anwenders Informationen über eine Android-App und ihre Herkunft an Google sendet und diese dort anhand einer Datenbank mit bekannter Malware abgeglichen wird. 

So kann festgestellt werden, ob die betreffende Applikation ein Sicherheitsrisiko darstellt. Ist dies der Fall, kann Google die Installation der App auf dem betreffenden Android-Gerät blockieren. Apple und Microsoft bieten vergleichbare Dienste an.

Findigkeit zahlt sich aus: App-Schwachstellen bieten Schlupflöcher

Doch die Hacker haben neue Methoden gefunden, um Mobile Malware zu verbreiten und auf Daten zuzugreifen. Sie nutzen bestehende Schwachstellen in geprüften, nicht-bösartigen Apps. Dabei machen es drei Arten von Lücken den Hackern besonders leicht, ihre Schadprogramme in eigentlich harmlose Apps einzuschleusen.

  1. Datenübermittlung: Um etwa Lizenzen zu prüfen oder Updates einzuspielen, empfangen und übermitteln viele mobile Apps Daten zwischen den Servern der Provider und den Endgeräten. Es kann jedoch vorkommen, dass diese Daten beim Verlassen des Smartphones oder Tablets nicht ausreichend verschlüsselt sind. Hacker können den Datenverkehr so abfangen und auslesen. Oder sie lenken diesen anstatt auf den Zielserver auf den eigenen um. So kommen sie an persönliche Passwörter und Kreditkartennummern. Für Unternehmen liegt hier ein weiteres Risiko: Cyberkriminelle können auf diese Art auch geschäftskritische Daten abfangen und Wirtschaftsspionage betreiben.
  2. App-Software-Recycling: Aufgrund des ständigen Zeitdrucks, unter dem Entwickler stehen, verwenden sie häufig App-Komponenten von Drittanbietern, so genannte Software Development Kits (SDKs). Diese werden jedoch aus Zeit- und Budgetgründen oft ohne Update oder Sicherheitsprüfung übernommen. Auch eventuell bestehende Schwachstellen werden somit übernommen. Beispiele hierfür sind etwa Android WebView oder Dropbox Android SDK.
  3. Lokale Datenspeicherung: Um das Nutzerverhalten innerhalb einer App zu dokumentieren oder Daten und Reports zu cachen, speichern viele mobile Endgeräte anfallende Daten lokal. Dies geschieht etwa in Form von Log-Files, um die App-Performance zu erhöhen oder die Nutzung zu vereinfachen. Jedoch können so auch Sicherheitslücken entstehen, wenn andere Applikation auf diese Log-Files zugreifen und sie auslesen. Auch Log-Files, die als Überbleibsel längst gelöschter Applikationen übrig geblieben sind, können noch nach Jahren ausgelesen werden.

Die zehn größten Schwachstellen bei mobilen Apps

Wichtigste Maßnahme: Verbesserte Kommunikation zwischen Entwicklern und App-Stores

Besonders App-Entwickler können einige Schutzmaßnahmen ergreifen: Etwa die genaue Überprüfung von SDKs und die Nutzung von „Secure Codes“. Zudem sollten Sicherheitstests im generellen Qualitätssicherungsprozess implementiert und automatische Scans zur frühzeitigen Entdeckung und Behebung von Sicherheitslücken durchgeführt werden.

Außerdem wären das Entfernen von Apps, die nicht mehr mit Updates versorgt werden, und die Entfernung unnötiger Funktionen im Code wichtig. Die wichtigste Schutzmaßnahme ist jedoch eine verbesserte Kommunikation zwischen den Entwicklern und den App-Stores. Entwickler sollten zum Beispiel umgehend informiert werden, wenn Schwachstellen in ihren Apps entdeckt wurden. Denn dann können sie schnell handeln, die Schwachstellen beheben und den Hackern somit ihre Arbeit erschweren.

Über den Autor:
Tony Anscombe ist Senior Security Evangelist bei AVG Technologies.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close