Schwerpunkte

iOS-Apps zu unsicher für Unternehmens-Einsatz

App-Entwickler verzichten absichtlich auf Sicherheitsfunktionen

29. September 2014, 14:03 Uhr   |  Elke von Rekowski | Kommentar(e)

App-Entwickler verzichten absichtlich auf Sicherheitsfunktionen
© Fraunhofer SIT

Vorsicht bei der App-Installation auf dem Dienstgerät. Viele "iOS"-Apps taugen nicht für den Unternehmenseinsatz.

60 Prozent der beliebtesten kostenlosen "iOS"-Apps sind für den Unternehmenseinsatz ungeeignet. Zu diesem erschreckenden Ergebnis kommen jetzt Sicherheits-Forscher des Fraunhofer Instituts.

Im Rahmen einer Testreihe haben die Wissenschaftler des Fraunhofer- Instituts für Sichere Informationstechnologie die beliebtesten kostenlosen Apps aller Kategorien aus Apples App-Store getestet und dabei zum Teil gravierende Sicherheitslücken in der Programmierung entdeckt. So haben die Entwickler bei rund 25 Prozent der Apps absichtlich auf Schutzfunktionen verzichtet. Zudem verschickte jede fünfte App Daten an mehr als fünf Unternehmen, die mit der eigentlichen App-Funktion nichts zu tun haben. Bei zahlreichen Anwendungen stellten die Experten außerdem Verschlüsselungsmängel fest. »Dadurch können versierte Angreifer zum Beispiel PINs ausspionieren und im Falle von Banking-Apps auch finanziellen Schaden anrichten«, sagt Jens Heider, Leiter des Testlabors Mobile Sicherheit am Fraunhofer SIT in Darmstadt.

Zusätzlich zu den beliebtesten Apps haben die Forscher 10.000 zufällig ausgewählte kostenlose Apps getestet.Die meisten Sicherheitsmängel verursachen demnach Programmierer, die absichtlich Schutzeinstellungen in der Programmierumgebung deaktivieren. Dadurch wird es für Angreifer wesentlich einfacher, Apps zu attackieren. In über zehn Prozent der Apps haben die Wissenschaftler eine besonders gravierende Sicherheitslücke enteckt: Hier ist die gesicherte Verbindung über SSL nicht korrekt implementiert. Über diese Lücke können Angreifer Zugangsdaten stehlen und den gesamten Datenverkehr zwischen der App und dem Handynutzer manipulieren. Auf diese Weise können Angreifer beispielsweise bei Banking-Apps Geld von Benutzerkonten stehlen. Auch in Bezug auf den Datenschutz bestehen zum Teil eklatante Lücken. So verschickte eine App Informationen an 16 Unternehmen.

Für den Massentest der "iOS"-Apps haben die Forscher das selbstentwickelte Testwerkzeug Appicaptor genutzt, das jede App auf verschiedene Standardkriterien überprüft und automatisch Testberichte mit einer entsprechenden Gesamteinschätzung generiert. Unternehmen können die Lösung ebenfalls nutzen, um Apps schnell und einfach zu bewerten. »Apple selbst kann nichts für das schlechte Abschneiden vieler Apps«, so Heider. Die "iOS"- Plattform biete gute Möglichkeiten, Apps mit hoher Sicherheitsqualität zu programmieren. Das komme allerdings in der Masse der Apps nicht an, da viele Entwickler nicht sauber arbeiteten.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Apple GmbH, Fraunhofer-Institut für sichere Informationstechnologie