Cloud-Konferenz 2013 – Interview mit Mario Hoffmann, Fraunhofer AISEC

Android Apps auf Herz und Nieren durchleuchten

Seite: 3/4

Firmen zum Thema

CloudComputing-Insider.de: Manche Entwickler integrieren Ad-Frameworks in ihre Apps, um mit Werbung Geld zu verdienen. Erkennt App-Ray auch Datenspionage und andere Sicherheitsverletzungen durch solche Drittanbieter-Komponenten?

Hoffmann: Die bedenkenlose Integration von Ad-Frameworks ist in der Tat das momentan größte Problem. Nach einem Artikel von MWR Labs hat das Unternehmen Ende Juli die 100 populärsten Apps im Google Play Store auf das Problem der Ad-Frameworks hin untersucht. Von diesen 100 Apps benutzen 79 Werbung zur Refinanzierung, 62 Apps hält MWR Labs für potenziell angreifbar.

Die Sicherheitsfirma FireEye ist nach eigenen Angaben ebenfalls einer Werbe-Bibliothek für Android-Apps auf die Schliche gekommen, die äußerst gefährlich für die Nutzer der Apps sein kann. Machten sich Kriminelle die Bibliothek zunutze, könnten sie aus der Ferne Code nachladen und ausführen, Einsicht in beliebige Dateien nehmen und die Geräte sogar zum Teil eines Botnetzes machen. Circa 200 Millionen Mal sollen die betroffenen Apps bisher heruntergeladen worden sein.

Die Erkennung von Datenspionage und anderer Sicherheitsverletzungen ist eine Kerneigenschaft von AppRay. Die App-Analyse schließt daher natürlich auch eingebettete Komponenten von Drittanbietern, wie Ad-Frameworks, mit ein. Das Kernproblem bei der Einbindung von Ad-Frameworks ist, dass sich einmal für eine bestimmte App erteilte Zugriffsrechte auch die darin enthaltenen Ad-Frameworks zunutze machen. Das ist für den Laien nicht mehr zu erkennen.

AppRay untersucht zu diesem Zweck Android-Apps u.a. auf Integrität und den Schutz der Privatsphäre; AppRay erkennt Datenabflüsse, identifiziert geldwerte Risiken und analysiert die Kommunikationssicherheit sowie die Handhabbarkeit. Dazu haben wir gegenwärtig 40 Einzelkriterien implementiert. Konkret können wir z.B. auf Code-Ebene feststellen, wie eine App den sogenannten Trust Manager implementiert.

Der Trust Manager überprüft, ob ein Zertifikat oder eine Zertifikatskette, z.B. einer SSL-Verbindung, noch gültig ist. Ist dieser Programmteil leer, und das ist nach unseren Analysen meistens der Fall, läuft natürlich auch die Überprüfung der SSL-Zertifikate ins Leere. Entsprechender Kommunikationsschutz und Authentizität der Partner ist dann nicht mehr gewährleistet.

(ID:42365440)