© Fraunhofer SIT

A CRISP partner the Fraunhofer SIT presents new results of their studies. Over 70 percent of the apps for the administration and display of documents are unsuitable for business usage. Hybrid apps cause additional risks for web security in the app world. Many apps for mobile instruments have severe security deficiencies which may cause severe damage to enterprises. To this conclusion comes the new Appicaptor-Security-Index of the Fraunhofer- Institut for science and information technology.

Further information in German
Auf der IT-Sicherheitsmesse it-sa in Nürnberg stellen die Forscher vom 18. bis 20. Oktober die neuesten Testergebnisse am Stand 430 Halle 12 vor. Der vollständige Bericht steht im Internet unter www.sit.fraunhofer.de/de/securityindex2016/ kostenlos zum Download zur Verfügung.

Laut den jüngsten Tests des Fraunhofer SIT nutzen 81 Prozent der beliebtesten kostenlosen iOS-Apps für die Kommunikation immer noch unverschlüsselte HTTP-Verbindungen, um Inhalte wie HTML-Seiten und JavaScript-Code zu laden. Bei Android haben 86 Prozent der Top 2000 kostenlosen Apps Verschlüsselungsmängel.
Solche Sicherheitslücken betreffen jedoch nicht nur News- oder Taschenlampen-Apps, sondern auch die für Unternehmen wesen­tlich kritischeren File-Viewer-Apps, wie beispielsweise PDF-Reader. Ganze 73 Prozent der analysierten File-Viewer-Apps und 55 Prozent der Android Organizer-Apps (iOS 28 Prozent) sind für den Un­ter­neh­mens­ein­satz ungeeignet, denn sie weisen gravierende Mängel auf, die Cyberkriminelle ausnutzen können. 
„So können Angreifer Passwörter oder PINs der Mitarbeiter ausspionieren und großen finanziellen Schaden anrichten“, sagt Dr. Jens Heider, Leiter des Testlabors Mobile Sicherheit am Fraunhofer SIT in Darmstadt. Da diese Apps häufig auch zur Ansicht von vertraulichen Dokumenten genutzt werden, wiegen diese Sicherheitslücken besonders schwer.

Auf der it-sa demonstrieren die Wissenschaftler des Fraunhofer SIT Angriffe auf hybride Apps: Die Darmstädter Forscher zeigen, dass sich ein fehlender Integritätsschutz auch bei seriösen Apps ausnutzen lässt, um die App durch eine Man-in-the-Middle-Attacke zu verändern. So konnten die Wissenschaftler bei verwundbaren Apps beispielsweise vor­handene App-Funktionen missbrauchen und damit unautorisiert auf alle Kalenderinhalte zugreifen, Termine ändern oder gar löschen.

Entwickler verzichten bewusst auf Sicherheit
 „Auffällig ist, dass viele Entwickler immer noch bewusst auf eine hohe Sicherheitsqualität verzichten“, sagt Dr. Jens Heider. Apple will das ungeschützte Übertragen von Daten unterbinden und hat daher die App Transport Security (ATS) eingeführt: Apps dürfen damit nur noch über das HTTPS-Protokoll kommunizieren. Doch viele Entwickler deaktivieren die Funktion momentan noch. Gerade einmal neun Prozent der kostenlosen Top 2000 iOS Apps haben ATS ohne Ausnahmen aktiviert.

Für ihre Analysen nutzten die Fraunhofer-Wissenschaftler das Testwerkzeug Appicaptor, das automatisiert große Mengen an Apps auf ihre Sicherheit und die Einhaltung der Da­ten­schutz­be­stim­mungen des jeweiligen Unternehmens untersucht. Unternehmen können Appicaptor als Lösung nutzen, um schnell und einfach bestehende als auch in der Ent­wicklungs­phase befindliche Apps zu bewerten. Das vom Fraunhofer SIT entwickelte Testwerkzeug überprüft jede App auf verschiedene Standardkriterien und generiert eine entsprechende Ge­samt­ein­schät­zung des Risikopotenziales der App.