Cloud-Konferenz 2013 – Interview mit Mario Hoffmann, Fraunhofer AISEC

Android Apps auf Herz und Nieren durchleuchten

Seite: 2/4

Firmen zum Thema

CloudComputing-Insider.de: App-Ray ist darauf ausgelegt, potenzielle Sicherheitsverstöße durch Android-Apps zu erkennen und sie bei Bedarf zu verhindern. Was unterscheidet App-Ray von anderen Security-Scannern?

Hoffmann: Mit AppRay - nomen est omen - durchleuchten wir in unserem Testlabor am Fraunhofer AISEC Android-Apps und überprüfen sie auf Herz und Nieren. Android ist für uns insofern sehr interessant, weil es eine sehr große dynamische Verbreitung erfährt und aufgrund der offenen Plattform für unsere Forschungszwecke die notwendige Flexibilität bietet.

Die Offenheit und Flexibilität bietet jedoch auch entsprechende Angriffsvektoren für schadhafte Apps oder solche mit „erweiterter Funktionalität“ – darunter verstehe ich Apps, die zusätzlich zu ihrer eigentlichen Funktion wie Taschenlampe oder Barcode-Scanner nebenbei noch andere, mitunter gefährliche Features besitzen.

Eine App könnte beispielsweise den Standort und die IMEI des Endgeräts sowie die SD-Karte auslesen und an einen beliebigen Server senden. Außerdem reicht die Liste an erweiterten Funktionen vom Nachladen beliebigen Codes über das unbemerkte Schießen und Versenden von Fotos sowie das Klauen von mTANs bis hin zum Einsehen, Austauschen und Zerstören beliebiger Daten aus der Ferne.

Schadhafte Apps und eben solche mit erweiterter Funktionalität lassen sich mit Security-Scannern analysieren. Dies reicht im Allgemeinen von oberflächlichen Analysen der von der jeweiligen App angeforderten Endgeräte-Permissions bis hin zu detaillierten Antivirus-Tests auf Signaturbasis.

AppRay im Speziellen eignet sich insbesondere dazu, Apps mit „erweiterter Funktionalität“ zu erkennen und zu analysieren und stellt somit eine wichtige Komplettierung der unternehmensinternen Sicherheitsstrategie für mobile Endgeräte dar. Zu diesem Zweck verfügt AppRay über zwei zentrale Analysemethoden:

  • 1. Die statische Analyse überprüft die Metadaten sowie den App-Code auf verdächtige Fragmente. Dies können entfernte Methodenaufrufe, das Auslesen von gerätespezifischen Informationen oder das Einbinden von Werbe-Frameworks sein.
  • 2. Die dynamische Analyse folgt im Anschluss beispielsweise von uns speziell markierten Eingaben (Dynamic Taint Analysis), System-Aufrufen oder auch http-Requests zur Laufzeit und liefert ein detailliertes Bild der laufenden App. Beispiel: Eine beliebte App zum Scannen von Barcodes fragt zum Zeitpunkt der Freigabe von Zugriffsrechten gleichzeitig schon einmal – offensichtlich unerlaubterweise – die IMEI ab. Dies erkennt man nur durch eine dynamische Analyse.

(ID:42365440)