Sicherheitslücken in Apps
Autor/Redakteur: Bernd Ullritz, Head of Mobile Business EMEA bei Check Point Software Technologies/gg
Nicht nur Mobilgeräte selbst, sondern auch die auf ihnen installierten Apps bergen für Nutzer Risiken und Gefahren. Kürzlich stellten Wissenschaftler der Technischen Universität Darmstadt sowie des Fraunhofer-Instituts für Sichere Informationstechnologie SIT bei der Untersuchung von Apps fest, dass die Mehrheit keine Zugangskontrolle verwendet. Sie testeten dafür mehr als 750.000 Apps aus dem Google Play Store sowie dem Apple App Store. Apps ohne Zugangskontrolle ermöglichen Hackern den direkten Zugriff auf sensible Daten.
Insgesamt wurden bei den Untersuchungen 56 Millionen ungeschützte Datensätze in Cloud-Datenbanken wie Facebook Parse und Amazon AWS gefunden. Viele Smartphone-Apps speichern Nutzerinformationen in Cloud-Datenbanken. Dies soll beispielsweise zur Vereinfachung der Synchronisation zwischen Android- und iOS-Apps dienen. Ohne den entsprechenden Security-Schutz sind die dort gespeicherten, sensiblen Informationen wie E-Mail-Adressen, Passwörter oder Gesundheitsdaten sowie weitere sensible Informationen von App Nutzern leichte Beute für Hacker. Der Diebstahl dieser Informationen oder die Manipulation von Passwörtern und Zugängen wird somit zum Kinderspiel.
Auf dem Schwarzmarkt bringen erbeutete Daten eine schöne Stange Geld, der Handel mit E-Mail-Adressen floriert hier regelrecht. Aber diese Beute spielt nicht nur Geld in den Klingelbeutel von Cyber-Kriminellen, sondern die sensiblen Informationen können ebenfalls dazu dienen, Nutzer zu erpressen, Webseiten zu verändern oder Schadcode einzuschleusen, Malware zu verbreiten oder Botnetze aufzubauen – die Liste der Möglichkeiten ist lang.
Der aktuelle Check Point Security Report 2015 zeigt, dass 33 Prozent der App-Entwickler ihre Apps gar nicht auf Sicherheit hin testen – eine Erklärung für die nicht vorhandenen Zugangskontrollen. Die Entwickler der betroffenen Apps müssen jetzt schnellstens tätig werden, denn die Gefahr, die von diesen Sicherheitslücken ausgeht, darf keinesfalls unterschätzt werden. Fest steht: Apps müssen eine Zugangskontrolle zum Schutz privater Daten verwenden, da ein hoher Anteil der App-bezogenen Informationen von Identitätsdiebstahl und Manipulation bedroht ist und auf diesem Weg Hackern der Zugang zu Mobilgeräten und von dort aus hinein in Unternehmensnetzwerke verwehrt werden kann.