Anwendungen senden Daten an Server, davon ein Viertel unverschlüsselt

[datensicherheit.de, 05.03.2014] Apps sollen Smartphone-Nutzer im privaten und beruflichen Alltag unterstützen. Das tun sie auch. Deshalb erfreuen sie sich fortwährend großer Beliebtheit. Doch häufig tun sie mehr, als den Helfer im Alltag zu spielen. Sie greifen auf Gerätefunktionen zu, sammeln Daten und schicken diese weiter. Dem Nutzer fehlt meist der Ein- und Überblick, was die Apps im Hintergrund anstellen – dabei kann dies die Sicherheit seines Geräts und seine Privatsphäre gefährden. Ein umfangreicher Test von 10.000 Apps zeigt, dass der bereits öffentlich gewordene Fall der datensammelnden Spiele-App nur die Spitze des Eisbergs bildet und die Sorge der Nutzer im Zusammenhang mit der Übernahme eines Messenger-Dienstes berechtigt ist.

Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben 10.000 der beliebtesten Android-Apps getestet und zum Teil gravierende Sicherheitslücken und Datenschutzverletzungen aufgedeckt. „Android als Betriebssystem ist auf dem Vormarsch und es gibt bereits heute fast eine Million Android-Apps, Tendenz rapide steigend. Mit dem Test der beliebtesten 10.000 wollten wir uns ein umfassendes Bild von den Mängeln der Apps machen.“, so Dr. Julian Schütte, Projektleiter für Mobile Sicherheit am Fraunhofer AISEC. Alle Apps sind mit dem Analyse-Werkzeug App-Ray, das vom Team um Dr. Schütte entwickelt wurde, analysiert worden. App-Ray unterzieht Apps einer vollautomatischen Analyse und deckt mögliche Sicherheitsmängel auf. Hierzu forscht das Fraunhofer AISEC an statischen und dynamischen Analyseverfahren, mit denen sich sowohl typische Programmierfehler als auch unerwünschte Datenflüsse erkennen lassen.

Starkes „Sendungsbewusstsein“

Ein wichtiges Ergebnis des Tests ist, dass mehr als 9000 (91%) der getesteten 10.000 Apps eine Berechtigung (Permission) für den Aufbau einer Internetverbindung vom Nutzer verlangen. Dieser muss bei der Installation der jeweiligen App dieser Anfrage zustimmen, ohne zu wissen, wozu diese Verbindung genutzt wird. Weit kritischer für den Nutzer ist dabei die Tatsache, dass ein Großteil der Apps diese Verbindungen nutzt, um gleich beim Start der App ungefragt persönliche Daten zu verschicken. Insgesamt stellte der Test Datenübertragungen an 4358 Server in der ganzen Welt fest – ohne Wissen und Zutun des Nutzers. „Der technisch nicht versierte Nutzer hat nach der Installation keine Möglichkeit, zu prüfen, welche Verbindungen die App nach draußen tatsächlich aufbaut und welche Daten übermittelt werden. Die Frage, was die App mit den Permissions genau macht, bleibt offen.“, so Dr. Schütte weiter. Dabei ist die Verbindung zum Internet für viele Apps notwendig (News, Social Networks), jedoch ist sie bei Anwendungen wie einer Taschenlampen-App für den Benutzer nicht immer nachvollziehbar. Des Weiteren stellten die Forscher fest, dass ca. 7000 Apps (69 %) unverschlüsselt mit der Außenwelt kommunizieren. 448 Apps sendeten eindeutige persönliche Daten wie die IMEI an Server im Netz. Der Nutzer hat in den wenigsten Fällen Einflussmöglichkeiten. So starten 1732 der getesteten Apps direkt beim Start des Geräts und agieren permanent im Hintergrund. Ebenfalls signifikant ist mit fast 50 Prozent (4917) die hohe Anzahl der Apps, die den Aufenthaltsort des Gerätes bestimmen können. 3930 lesen den Gerätestatus aus.

Die Sicherheit des Nutzers wird zudem durch unzureichend programmierte Apps bedroht. „So gibt ein gutes Viertel (26 %) der Apps zwar vor, eine sichere Verbindung zum Internet aufzubauen, schaltet aber die Prüfung des Serverzertifikats explizit ab, so dass die Verbindung leicht angreifbar ist.“

© Fraunhofer AISEC

Test von 10.000 Apps auf mögliche Sicherheirsmängel

App-Ray: Vollautomatische Sicherheitsanalyse

App-Ray ist eine Lösung für Unternehmen und ermöglicht eine vollautomatische Analyse und Einschätzung der Sicherheit von Android-Apps nach vorher festgelegten Kriterien. Dabei stellen die Unternehmen den Katalog der Untersuchungskriterien selbst zusammen, so dass Analysen mit App-Ray genau auf die unternehmensspezifischen Anforderungen hin zugeschnitten sind. „Die IT-Abteilung kann zum Beispiel festlegen, dass Apps bestimmte Daten nicht oder nur verschlüsselt versenden dürfen, was in der heutigen Zeit eine zunehmend wichtige Rolle einnimmt“, so Dr. Julian Schütte. Zusätzlich zu einer Einschätzung der Sicherheit einer App in Bezug auf die definierten Kriterien stellt App-Ray transparent detaillierte Untersuchungsdaten zur Verfügung, die von Entwicklern und Sicherheitsexperten als Basis für eine eingehendere manuelle Untersuchung verwendet werden können.

Weitere Informationen zum Thema:

App-Ray
Mobile App Security Scanning

datensicherheit.de, 07.10.2013
Fraunhofer AISEC stellt automatisierte Sicherheitsanalyse für Android-Apps vor

Analysewerkzeug als Unterstützung für IT-Verantwortliche

[datensicherheit.de, 07.10.2013] Forscher des Fraunhofer AISEC haben ein Analysewerkzeug für Android-Apps entwickelt. Das Tool namens App-Ray führt eine umfassende Prüfung und Einschätzung der Apps durch. Dabei können die Prüfkriterien vom Nutzer selbst gewählt werden. App-Ray soll vor allem IT-Verantwortliche in Unternehmen dabei unterstützen, Apps darauf hin zu beurteilen, ob sie für einen Einsatz im Unternehmensumfeld geeignet sind. Ergänzt wird App-Ray durch den Trusted-App-Market. Dieser dient als Sicherheitsfilter für mobile Geräte und stellt nur diejenigen Apps zum Download bereit, die den Sicherheitsanforderungen des Unternehmens genügen. Fraunhofer AISEC stellt App-Ray auf der Sicherheitsmesse it-sa in Nürberg ab dem 8. Oktober in Halle 12, Stand 554 vor.

Bild: Fraunhofer AISEC

Vorstellung auf der it-sa 2013 in Nürberg

Ein Video zu der Funktionsweise von App-Ray befindet sich unter http://ais.ec/apprayvideo

Statistisch gesehen werden in Deutschland 54 Apps pro Sekunde heruntergeladen. Die Hälfte der Smartphone Besitzer hat mehr als 50 Apps pro Smartphone im Einsatz. Den wenigsten ist bewusst, was die Apps im Hintergrund so alles tun. Greifen sie vielleicht auf das Adressbuch zu? Können sie sogar selbständig das Mikrofon ansteuern? Vor allem im Unternehmensumfeld spielen diese und weitere Sicherheitsfragen eine wichtige Rolle bei der Installation oder Freigabe von Apps für Geräte der Mitarbeiter (Bring Your Own Device). Gerade Android-Apps wird eine unzureichende Qualitäts- und Sicherheitskontrolle nachgesagt.

„Die mangelhaften Sicherheitsmechanismen von Apps stellen Unternehmen vor große Herausforderungen. Es ist schwer zu beurteilen, welche Apps vertrauenswürdig und somit für den Einsatz im Unternehmensumfeld geeignet sind“, so Dr. Julian Schütte, Verantwortlicher für die Entwicklung von App-Ray bei Fraunhofer AISEC.

Vollautomatische Sicherheitsanalyse

App-Ray ermöglicht eine vollautomatische Analyse und Einschätzung der Sicherheit von Android-Apps nach vorher vom Unternehmen selbst festgelegten Kriterien. Dabei stellen die Unternehmen den Katalog der Untersuchungskriterien selbst zusammen, so dass Analysen mit App-Ray genau auf die unternehmensspezifischen Anforderungen hin zugeschnitten sind. „Die IT-Abteilung kann außerdem festlegen, dass Apps Daten nur verschlüsselt kommunizieren dürfen, was in der heutigen Zeit eine zunehmend wichtige Rolle einnimmt“, so Dr. Julian Schütte. Zusätzlich zu einer Einschätzung der Sicherheit einer App in Bezug auf die definierten Kriterien stellt App-Ray transparent detaillierte Untersuchungsdaten zur Verfügung, die von Sicherheitsexperten als Basis für eine eingehendere manuelle Untersuchung verwendet werden können.

Und schließlich funktioniert die Software nicht nur für Apps aus bestehenden Stores: Mit Hilfe des von den Forschern entwickelten „Trusted-App-Market“ können Unternehmen eigene App-Stores betreiben, die nur sichere Anwendungen zum Download und Installation auf den Geräten zulassen.

App-Ray kann zum einen als eigenständiges Tool, z. B. zum direkten Überprüfen von ganzen Smartphones, verwendet werden. Zum anderen lässt sich App-Ray als Sicherheitsfeature in Enterprise App Stores und Mobile-Device-Management-Lösungen integrieren. Hierfür bietet Fraunhofer AISEC die Adaption und Integration von App-Ray an.

Weitere Informationen zum Thema:

www.app-ray.de
App-Ray – Android App Security Scanning

[datensicherheit.de, 06.09.2011] Am 12. September 2011 in der Zeit von 12 bis 16 Uhr findet im „Fraunhofer-Haus“ in München eine Jubiläumsfeier mit einer Technik-Ausstellung statt:
Der Fraunhofer-Standort in Garching ist die eigenständige Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) geworden. Dies soll mit Vertretern aus Wirtschaft, Politik und Forschung gefeiert, zudem in einer Technik-Ausstellung über einige der aktuellen Forschungsaktivitäten informiert werden.

Abbildung: Fraunhofer AISEC, Garching bei München

Fraunhofer AISEC: Seit 1. Juli 2011 eigenständig.

Martin Zeil, Bayerischer Staatsminister für Wirtschaft, Infrastruktur, Verkehr und Technologie, sowie Prof. Dr. Wolfgang Herrmann, Präsident der TU München, halten Grußworte. Es sind Fachvorträge von Prof. Dr. Hans-Jörg Bullinger, Präsident der Fraunhofer-Gesellschaft, Martin Schallbruch, IT-Direktor beim Bundesministerium des Innern, Dr. Kai Grassie, „CTO“ Giesecke & Devrient GmbH, und Prof. Dr. Claudia Eckert, Leiterin Fraunhofer AISEC, zu hören.
Zu den Kernthemen von Fraunhofer AISEC gehört die Sicherheit von eingebetteten Systemen. Nicht nur in Computer und Handy steckt Informationstechnologie. Mittlerweile sind alle Lebensbereiche von IT durchdrungen, so ist etwa das Auto heute ein „fahrender Großrechner“ mit mehr als 80 kleinen Computern – Tendenz steigend. Fraunhofer AISEC arbeite deshalb auch in mehreren Projekten an der sicheren und verlässlichen IT-Ausstattung für das Auto der Zukunft. Außerdem beschäftigten sich die Forscher in Garching mit den Energie-Netzen der nächsten Generation, denn wenn diese regenerative Energie besser verarbeiten sollen, müssten sie flexibler werden. Dafür seien verlässliche und manipulationssichere IT-basierte Steuereinheiten ein Schlüssel zum Erfolg – auch daran arbeiteten Wissenschaftler des Fraunhofer AISEC.
Ein weiterer Trend sei die Abwanderung von Anwendungen auf der eigenen Festplatte hinein in die Cloud, auf die Server eines Dienstleisters. Wie sicher die Daten dort sind und wie abhängig sich Unternehmen von Cloud-Anbietern machen sind Fragen, denen sich die Experten vom „Fraunhofer AISEC Cloud-Security Labor“ widmen.

Weitere Informationen zum Thema:

Fraunhofer
AISEC

[datensicherheit.de, 06.07.2011] Der Münchner Institutsteil des Fraunhofer SIT ist seit dem 1. Juli 2011 eine selbstständige Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit (AISEC):
Mit den Themen der Sicherheit für Eingebettete Systeme, Sicherheit im Cloud-Computing, dem Schutz vor Produktpiraterie und der Netzwerksicherheit hat sich der Münchner Standort bereits innerhalb von zwei Jahren so erfolgreich entwickelt, dass der Fraunhofer-Senat die Überführung in die Selbständigkeit unter der Leitung von Prof. Dr. Claudia Eckert beschlossen hat. Nach zehn Jahren als Leiterin des Fraunhofer-SIT konzentriere sie sich nun vollständig auf die Leitung und den weiteren Ausbau des Fraunhofer AISEC in München.

© Fraunhofer AISEC, Erich Hochmayr

AISEC-Gründungsfeier am 12. September 2011

Mit einem Mix aus Informatikern, Elektrotechnik-Ingenieuren, Mathematikern und Betriebswirten soll am Standort München ein deutschlandweit einzigartiges Kompetenz- und Technologie-Profil geboten werden, um den Kunden individuell zugeschnittene Sicherheits-Lösungen anzubieten. Seit Juni 2010 wird Prof. Eckert von ihrem Kollegen Prof. Georg Sigl beim Aufbau des Standortes München unterstützt. Mit seinen 18 Jahren Industrieerfahrung im Design eingebetteter sicherer Systeme kümmert sich Prof. Sigl vordringlich um die Hardware-nahen Themen des Fraunhofer AISEC. Über die beiden Lehrstühle, von Prof. Sigl in der Elektrotechnik und von Prof. Eckert in der Informatik, wird das Fraunhofer AISEC auch in Zukunft sehr eng mit der TU München kooperieren.
Als selbständige Fraunhofer Einrichtung möchte AISEC in den kommenden Jahren die Forschungsbereiche weiter kräftig ausbauen. So sollen die Themen „SmartGrid“ und „SmartMobility“ inklusive „Automotive-Security“ und Elektromobilität noch stärker bearbeitet werden. Auch die Test- und Demonstrationslabore für Hardware-Sicherheit, Netzwerksicherheit und Cloud-Sicherheit werden kontinuierlich erweitert. „Mit Sicherheit innovativ!“ wird auch in Zukunft Leitmotiv des Arbeitens sein.
Die Gründung des Fraunhofer AISEC und der bislang erreichte Erfolg sollen nach der Sommerpause 2011 mit Kunden und Partnern gefeiert werden – am 12. September 2011, ab 12 Uhr in der FhG-Zentrale. Hierzu ergehen noch ausführliche Einladungen.

Weitere Informationen zum Thema:

FRAUNHOFER AISEC
Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit