Computerwelt: Aktuelle IT-News Österreich


06.03.2014 pi/AW

10.000 Apps und eine Menge Sorgen

Apps sollen Smartphone-Nutzer im privaten und beruflichen Alltag unterstützen. Das tun sie auch. Deshalb erfreuen sie sich fortwährend großer Beliebtheit. Doch häufig tun sie mehr, als den Helfer im Alltag zu spielen. Sie greifen auf Gerätefunktionen zu, sammeln Daten und schicken sie weiter.

Forscher haben Android-Apps auf mögliche Sicherheitsmängel getestet.

Forscher haben Android-Apps auf mögliche Sicherheitsmängel getestet.

© Google

Dem Nutzer fehlt meist der Ein- und Überblick, was die Apps im Hintergrund anstellen – dabei kann dies die Sicherheit seines Geräts und seine Privatsphäre gefährden. Ein umfangreicher Test von 10.000 Apps zeigt, dass der bereits öffentlich gewordene Fall der datensammelnden Spiele-App nur die Spitze des Eisbergs bildet und die Sorge der Nutzer im Zusammenhang mit der Übernahme eines Messenger-Dienstes berechtigt ist.
 
Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben 10.000 der beliebtesten Android-Apps getestet und zum Teil gravierende Sicherheitslücken und Datenschutzverletzungen aufgedeckt. "Android als Betriebssystem ist auf dem Vormarsch und es gibt bereits heute fast eine Million Android-Apps, Tendenz rapide steigend. Mit dem Test der beliebtesten 10.000 wollten wir uns ein umfassendes Bild von den Mängeln der Apps machen.", so Dr. Julian Schütte, Projektleiter für Mobile Sicherheit am Fraunhofer AISEC. Alle Apps sind mit dem Analyse-Werkzeug App-Ray, das vom Team um Dr. Schütte entwickelt wurde, analysiert worden. App-Ray unterzieht Apps einer vollautomatischen Analyse und deckt mögliche Sicherheitsmängel auf. Hierzu forscht das Fraunhofer AISEC an statischen und dynamischen Analyseverfahren, mit denen sich sowohl typische Programmierfehler als auch unerwünschte Datenflüsse erkennen lassen.

STARKES SENDEBEWUSSTSEIN
Ein wichtiges Ergebnis des Tests ist, dass mehr als 9000 (91%) der getesteten 10.000 Apps eine Berechtigung (Permission) für den Aufbau einer Internetverbindung vom Nutzer verlangen. Dieser muss bei der Installation der jeweiligen App dieser Anfrage zustimmen, ohne zu wissen, wozu diese Verbindung genutzt wird. Weit kritischer für den Nutzer ist dabei die Tatsache, dass ein Großteil der Apps diese Verbindungen nutzt, um gleich beim Start der App ungefragt persönliche Daten zu verschicken. Insgesamt stellte der Test Datenübertragungen an 4358 Server in der ganzen Welt fest – ohne Wissen und Zutun des Nutzers. "Der technisch nicht versierte Nutzer hat nach der Installation keine Möglichkeit, zu prüfen, welche Verbindungen die App nach draußen tatsächlich aufbaut und welche Daten übermittelt werden. Die Frage, was die App mit den Permissions genau macht, bleibt offen.", so Schütte weiter. Dabei ist die Verbindung zum Internet für viele Apps notwendig (News, Social Networks), jedoch ist sie bei Anwendungen wie einer Taschenlampen-App für den Benutzer nicht immer nachvollziehbar.

Des Weiteren stellten die Forscher fest, dass ca. 7000 Apps (69 %) unverschlüsselt mit der Außenwelt kommunizieren. 448 Apps sendeten eindeutige persönliche Daten wie die IMEI an Server im Netz. Der Nutzer hat in den wenigsten Fällen Einflussmöglichkeiten. So starten 1732 der getesteten Apps direkt beim Start des Geräts und agieren permanent im Hintergrund. Ebenfalls signifikant ist mit fast 50 Prozent (4917) die hohe Anzahl der Apps, die den Aufenthaltsort des Gerätes bestimmen können. 3930 lesen den Gerätestatus aus.
 
Die Sicherheit des Nutzers wird zudem durch unzureichend programmierte Apps bedroht. So gibt ein gutes Viertel (26 %) der Apps zwar vor, eine sichere Verbindung zum Internet aufzubauen, schaltet aber die Prüfung des Serverzertifikats explizit ab, so dass die Verbindung leicht angreifbar ist.

APP-RAY
App-Ray ist eine Lösung für Unternehmen und ermöglicht eine vollautomatische Analyse und Einschätzung der Sicherheit von Android-Apps nach vorher festgelegten Kriterien. Dabei stellen die Unternehmen den Katalog der Untersuchungskriterien selbst zusammen, so dass Analysen mit App-Ray genau auf die unternehmensspezifischen Anforderungen hin zugeschnitten sind. "Die IT-Abteilung kann zum Beispiel festlegen, dass Apps bestimmte Daten nicht oder nur verschlüsselt versenden dürfen, was in der heutigen Zeit eine zunehmend wichtige Rolle einnimmt", so Schütte. Zusätzlich zu einer Einschätzung der Sicherheit einer App in Bezug auf die definierten Kriterien stellt App-Ray transparent detaillierte Untersuchungsdaten zur Verfügung, die von Entwicklern und Sicherheitsexperten als Basis für eine eingehendere manuelle Untersuchung verwendet werden können.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Bewertungen: 5.0 von 5. 1 Stimme(n).
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr
  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr

Hosted by:    Security Monitoring by: