Fraunhofer: Android-Apps fallen bei der Sicherheit durch

Nur die wenigsten Andriod-Apps übertragen Daten verschlüsselt. Eine Analyse der 10.000 beliebtesten Apps zeigt nicht nur gravierende Verstöße gegen Datenschutz-Praktiken sondern auch die Gefährdung der Unternehmenssicherheit über unautorisierte Zugriffe auf Mikrofon oder Kamera.

10.000 Android-Anwendungen haben die Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) analysiert und getestet. Gravierende Sicherheitslücken und Verletzungen gängiger Datenschutzpraktiken haben die Forscher auf diese Weise festgestellt. Für den Test haben die Wissenschaftler das im Herbst vergangenen Jahres vorgestelltes Analyse-Werkzeug App-Ray verwendet.

“Android als Betriebssystem ist auf dem Vormarsch und es gibt bereits heute fast eine Million Android-Apps, Tendenz rapide steigend. Mit dem Test der beliebtesten 10.000 wollten wir uns ein umfassendes Bild von den Mängeln der Apps machen“, so Julian Schütte, Projektleiter für Mobile Sicherheit am Fraunhofer AISEC.

91 Prozent der 10.000 getesteten Apps fordern dem Fraunhofer-Test zufolge bei der Installation eine Berechtigung für den Aufbau einer Internetverbindung an. Das ist für die Funktion der App in vielen Fällen erforderlich – aber zum Beispiel bei einer Taschenlampen-App ist der Grund nicht immer nachvollziehbar. Bedenklich ist allerdings die Tatsache, dass ein großer Teil der Apps diese Verbindungen umgehend nutzt, um ohne weitere Nachfrage beim Nutzer persönliche Daten zu verschicken. Insgesamt stellte der Test derartige Datenübertragungen an 4358 in der ganzen Welt verteilte Server fest.

“Der technisch nicht versierte Nutzer hat nach der Installation keine Möglichkeit, zu prüfen, welche Verbindungen die App nach draußen tatsächlich aufbaut und welche Daten übermittelt werden. Die Frage, was die App mit den Permissions genau macht, bleibt offen”, so Schütte in einer Pressemitteilung.

Die Forscher stellten zudem fest, dass 69 Prozent der untersuchten Apps unverschlüsselt mit der Außenwelt kommunizieren. Zudem wird die Sicherheit der Nutzer durch unzureichend programmierte Apps bedroht. “So gibt ein gutes Viertel der Apps zwar vor, eine sichere Verbindung zum Internet aufzubauen, schaltet aber die Prüfung des Serverzertifikats explizit ab, so dass die Verbindung leicht angreifbar ist”, erklärt Schütte.

Von den geprüften Apps senden 448 eindeutige persönliche Daten wie die IMEI an Server im Netz. Einflussmöglichkeiten haben Nutzer in den wenigsten Fällen. Dazu trägt auch bei, dass 1732 der getesteten Apps direkt beim Start des Geräts starten und permanent im Hintergrund agieren. Fast 50 Prozent der Apps können zudem den Aufenthaltsort des Gerätes bestimmen. Und 3930 lesen den Gerätestatus aus.

Ähnliche Ergebnisse haben gerade erst auch Sicherheitsforscher aus Bremen vorgelegt. Die Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und deren Kommunikationsverhalten und Software-Code analysiert. Dabei wurden zwei immer wieder auftauchende Probleme identifiziert: zu weitreichende Berechtigungen und Lücken in der SSL-Verschlüsselung.

TZI-Mitarbeiter Karsten Sohr bemängelt genau wie seine Fraunhofer-Kollegen, dass die Apps eine lange Liste von Berechtigungen anfordern, von denen viele für die Funktionalität gar nicht benötigt werden. Das ist laut Sohr nicht nur ein Datenschutzproblem, sondern auch ein Sicherheitsproblem: “Das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen” – ohne dass der Nutzer das bemerkt, wie Christian Liebig erklärt, der am TZI seine Masterarbeit über das Thema schreibt.

Das zweite, von den Bremer Wissenschaftlern immer wieder entdeckte Einfallstor, ist die unsaubere Implementierung der SSL-Verschlüsselung. “Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert”, so Sohr.

Die vom Fraunhofer AISEC entwickelte Prüfsoftware App-Ray lässt sich auch von Unternehmen nutzen. Sie ermöglicht die automatische Analyse und Einschätzung der Sicherheit von Android-Apps nach zuvor vom Unternehmen definierten Kriterien. Zusätzlich kann die IT-Abteilung festlegen, dass Apps Daten nur verschlüsselt kommunizieren dürfen. Außerdem stellt die App eine Liste detaillierter Untersuchungsdaten zur Verfügung, die von Sicherheitsexperten als Basis für genauere manuelle Untersuchungen verwendet werden können.

Mit App-Ray können Smartphones überprüft werde, es lässt sich aber auch in Enterprise-App-Stores und Mobile-Device-Management-Lösungen integrieren. Hierfür bietet Fraunhofer AISEC die Dienstleistung der Adaption und Integration in Unternehmens-Umgebungen an. Auf der CeBIT zeigt das Institut die Lösung in Halle 9 an Stand E40.

 


Die Fraunhofer-Forscher zeigen in einem Video, wie der Security-Checker App-Ray arbeitet.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de