Cloud-Konferenz 2013 – Interview mit Mario Hoffmann, Fraunhofer AISEC Android Apps auf Herz und Nieren durchleuchten

Autor / Redakteur: Das Interview führte Stephan Augsten / Stephan Augsten

Unter dem Motto „Cloud und Mobilität – Risiko oder Chance?“ steht die morgige Cloud-Konferenz am Institut für Informatik der Universität Augsburg. CloudComputing-Insider hat im Vorfeld mit Mario Hoffmann vom Fraunhofer AISEC über die Möglichkeiten und Gefahren von Android Apps gesprochen.

Firmen zum Thema

Auf der diesjährigen Cloud-Konferenz wird Fraunhofer AISEC den Android-Scanner App-Ray vorstellen.
Auf der diesjährigen Cloud-Konferenz wird Fraunhofer AISEC den Android-Scanner App-Ray vorstellen.
(Bild: Fraunhofer AISEC)

Mario Hoffmann: „BYOD ist durchaus ein beachtenswerter Trend, birgt aber technische und rechtliche Nachteile.“
Mario Hoffmann: „BYOD ist durchaus ein beachtenswerter Trend, birgt aber technische und rechtliche Nachteile.“
(Bild: Fraunhofer AISEC)
Auf der Cloud-Konferenz 2013 in Augsburg am 18. Oktober 2013 können sich Teilnehmer über die Themenspektren Sicherheit, Anwendungsbeispiele und Nutzungsszenarien für Unternehmen informieren. Als einer der Referenten wird Mario Hoffmann erwartet, der den Forschungsbereich „Service & Application Security“ am Fraunhofer AISEC leitet. Wir haben uns mit dem Experten für mobile Sicherheit unterhalten.

CloudComputing-Insider.de: Android ist das mit Abstand am weitesten verbreitete mobile Betriebssystem – und damit leider auch ein beliebtes Angriffsziel. Ist es vor diesem Hintergrund überhaupt sinnvoll, die geschäftliche Nutzung privater Android-Geräte zu erlauben?

Mario Hoffmann: BYOD, also Bring Your Own Device, ist durchaus ein beachtenswerter Trend. Es gibt z.B. Unternehmen, die ihren Angestellten ganz bewusst eine gewisse Summe zur Verfügung stellen. Damit dürfen sie sich dann ein mobiles Endgerät wie ein Smartphone kaufen und dieses für dienstliche sowie private Zwecke nutzen (dual use).

Vielfach wird aber auch schlicht der Einsatz von privaten Endgeräten zum Zugriff auf E-Mails, Adressen, Termine und Unternehmensdaten gestattet oder zumindest geduldet. Dies hat sicherheitstechnische Implikationen: Unternehmen haben oftmals nicht die Möglichkeit, dual-use oder private Geräte geeignet zu managen, zu überprüfen und deren Nutzung mittels Monitoring zu überwachen.

Hinzu kommt, dass Anwender auf privaten Endgeräten – für das Unternehmen meist intransparent – schadhafte Apps installieren können und dies ggf. nicht selbst erkennen. Unternehmensrichtlinien zur IT-Sicherheit können so nur mangelhaft durchgesetzt oder gar unterlaufen werden. Bei Verlust des Endgeräts oder Ausscheiden der MitarbeiterInnen gibt es zudem nur eingeschränkte Möglichkeiten, Zugriffsrechte zu widerrufen.

Die vordergründig verlockend wirkende geschäftliche Nutzung privater mobiler Endgeräte – und das gilt für alle Plattformen – würde ich aus Unternehmenssicht daher sowohl technisch als auch rechtlich als nachteilig beurteilen. Preiswerter im Sinne des Geräte-Managements scheint eine Zwei-Geräte-Strategie bzw. Geräte mit zwei für die private und geschäftliche Nutzung voneinander getrennten Bereichen mit entsprechender MDM-Lösung (Mobile Device Management).

CloudComputing-Insider.de: App-Ray ist darauf ausgelegt, potenzielle Sicherheitsverstöße durch Android-Apps zu erkennen und sie bei Bedarf zu verhindern. Was unterscheidet App-Ray von anderen Security-Scannern?

Hoffmann: Mit AppRay - nomen est omen - durchleuchten wir in unserem Testlabor am Fraunhofer AISEC Android-Apps und überprüfen sie auf Herz und Nieren. Android ist für uns insofern sehr interessant, weil es eine sehr große dynamische Verbreitung erfährt und aufgrund der offenen Plattform für unsere Forschungszwecke die notwendige Flexibilität bietet.

Die Offenheit und Flexibilität bietet jedoch auch entsprechende Angriffsvektoren für schadhafte Apps oder solche mit „erweiterter Funktionalität“ – darunter verstehe ich Apps, die zusätzlich zu ihrer eigentlichen Funktion wie Taschenlampe oder Barcode-Scanner nebenbei noch andere, mitunter gefährliche Features besitzen.

Eine App könnte beispielsweise den Standort und die IMEI des Endgeräts sowie die SD-Karte auslesen und an einen beliebigen Server senden. Außerdem reicht die Liste an erweiterten Funktionen vom Nachladen beliebigen Codes über das unbemerkte Schießen und Versenden von Fotos sowie das Klauen von mTANs bis hin zum Einsehen, Austauschen und Zerstören beliebiger Daten aus der Ferne.

Schadhafte Apps und eben solche mit erweiterter Funktionalität lassen sich mit Security-Scannern analysieren. Dies reicht im Allgemeinen von oberflächlichen Analysen der von der jeweiligen App angeforderten Endgeräte-Permissions bis hin zu detaillierten Antivirus-Tests auf Signaturbasis.

AppRay im Speziellen eignet sich insbesondere dazu, Apps mit „erweiterter Funktionalität“ zu erkennen und zu analysieren und stellt somit eine wichtige Komplettierung der unternehmensinternen Sicherheitsstrategie für mobile Endgeräte dar. Zu diesem Zweck verfügt AppRay über zwei zentrale Analysemethoden:

  • 1. Die statische Analyse überprüft die Metadaten sowie den App-Code auf verdächtige Fragmente. Dies können entfernte Methodenaufrufe, das Auslesen von gerätespezifischen Informationen oder das Einbinden von Werbe-Frameworks sein.
  • 2. Die dynamische Analyse folgt im Anschluss beispielsweise von uns speziell markierten Eingaben (Dynamic Taint Analysis), System-Aufrufen oder auch http-Requests zur Laufzeit und liefert ein detailliertes Bild der laufenden App. Beispiel: Eine beliebte App zum Scannen von Barcodes fragt zum Zeitpunkt der Freigabe von Zugriffsrechten gleichzeitig schon einmal – offensichtlich unerlaubterweise – die IMEI ab. Dies erkennt man nur durch eine dynamische Analyse.

CloudComputing-Insider.de: Manche Entwickler integrieren Ad-Frameworks in ihre Apps, um mit Werbung Geld zu verdienen. Erkennt App-Ray auch Datenspionage und andere Sicherheitsverletzungen durch solche Drittanbieter-Komponenten?

Hoffmann: Die bedenkenlose Integration von Ad-Frameworks ist in der Tat das momentan größte Problem. Nach einem Artikel von MWR Labs hat das Unternehmen Ende Juli die 100 populärsten Apps im Google Play Store auf das Problem der Ad-Frameworks hin untersucht. Von diesen 100 Apps benutzen 79 Werbung zur Refinanzierung, 62 Apps hält MWR Labs für potenziell angreifbar.

Die Sicherheitsfirma FireEye ist nach eigenen Angaben ebenfalls einer Werbe-Bibliothek für Android-Apps auf die Schliche gekommen, die äußerst gefährlich für die Nutzer der Apps sein kann. Machten sich Kriminelle die Bibliothek zunutze, könnten sie aus der Ferne Code nachladen und ausführen, Einsicht in beliebige Dateien nehmen und die Geräte sogar zum Teil eines Botnetzes machen. Circa 200 Millionen Mal sollen die betroffenen Apps bisher heruntergeladen worden sein.

Die Erkennung von Datenspionage und anderer Sicherheitsverletzungen ist eine Kerneigenschaft von AppRay. Die App-Analyse schließt daher natürlich auch eingebettete Komponenten von Drittanbietern, wie Ad-Frameworks, mit ein. Das Kernproblem bei der Einbindung von Ad-Frameworks ist, dass sich einmal für eine bestimmte App erteilte Zugriffsrechte auch die darin enthaltenen Ad-Frameworks zunutze machen. Das ist für den Laien nicht mehr zu erkennen.

AppRay untersucht zu diesem Zweck Android-Apps u.a. auf Integrität und den Schutz der Privatsphäre; AppRay erkennt Datenabflüsse, identifiziert geldwerte Risiken und analysiert die Kommunikationssicherheit sowie die Handhabbarkeit. Dazu haben wir gegenwärtig 40 Einzelkriterien implementiert. Konkret können wir z.B. auf Code-Ebene feststellen, wie eine App den sogenannten Trust Manager implementiert.

Der Trust Manager überprüft, ob ein Zertifikat oder eine Zertifikatskette, z.B. einer SSL-Verbindung, noch gültig ist. Ist dieser Programmteil leer, und das ist nach unseren Analysen meistens der Fall, läuft natürlich auch die Überprüfung der SSL-Zertifikate ins Leere. Entsprechender Kommunikationsschutz und Authentizität der Partner ist dann nicht mehr gewährleistet.

CloudComputing-Insider.de: Wie setzt man AppRay ein und wie interpretiert man die Ergebnisse?

Hoffmann: AppRay ist gegenwärtig per Website erreichbar. Dort gibt es die Möglichkeit, über einen Test-Account, den wir gerne bereitstellen, bereits einmal durchgeführte Tests zu sichten. Gerade vor der IT-Sicherheitsmesse it.sa, auf der wir AppRay vorstellten, haben wir eine ganze Reihe populärer Apps durchleuchtet.

Wir helfen jedoch auch gerne bei der Analyse individueller Fälle, konfigurieren nach Kundenbedürfnissen unsere Tests und helfen bei der Beurteilung der Ergebnisse und der sich daraus ergebenden Risiken. Schließlich geben wir Empfehlungen, wie eine entsprechende App ggf. erweitert werden müsste, um die Sicherheitsrichtlinien zu erfüllen, und setzen dies entsprechend um.

Unsere Kriterienkataloge und Analysemethoden lassen sich zu diesem Zweck detailliert und feingranular anpassen und beispielsweise um unternehmensspezifische Richtlinienkataloge erweitern. Neben diesen Einzeltests halten wir gegenwärtig aber ein anderes Einsatzszenario für AppRay für noch wahrscheinlicher: Viele Unternehmen und Behörden denken über die Einrichtung eines dedizierten Trusted AppStores nach.

Dies bedeutet, dass MitarbeiterInnen nur Apps auf ihre Dienstgeräte herunterladen und installieren dürfen, sofern sie von diesem vertrauenswürdigen AppStore stammen; dieser kann z.B. von der eigenen IT-Abteilung betrieben werden. AppRay ist dafür prädestiniert, Apps vor der Freigabe in einem solchen Trusted App Store zu untersuchen.

Security-Insider.de: Herzlichen Dank für diesen kurzen Einblick in die Arbeit des Fraunhofer AISEC und viel Erfolg auf der Cloud-Konferenz, Herr Hoffmann.

Weitere Informationen und Anmeldung zur Cloud-Konferenz 2013

Weitere Informationen zu den einzelnen Vorträgen und die Möglichkeit der Anmeldung finden sich auf der Website der Cloud-Konferenz. Veranstalter ist kit e.V. - Kommunikations- und Informationstechnologie Initiative. Reguläre Teilnahmegebühr ist 80 Euro zzgl. MwSt. (60 Euro ermäßigt für Mitglieder des kit. e.V., der WJA, der IHK Schwaben, Firmen mit Sitz im aiti-Park und Mitglieder der Netzwerkpartner).

(ID:42365440)