Fünf Ratschläge für App-Stores: Der Feind sitzt in der App

App-Stores für Smartphones und Tablets sind auch für Hacker und Datendiebe interessant: Die europäische Sicherheitsagentur ENISA gibt Tipps zur Prävention. [...]

App-Stores haben sich mit dem iPhone und dem iPad, aber auch für Android und mit dem App-Store von Apple für OS X zu dem neuen Vertriebskanal für Anwendungen entwickelt. Für iOS-Geräte von Apple und für Android-Smartphones sind jeweils mehrere 100.000 Anwendungen erhältlich, die mehrere Milliarden mal heruntergeladen werden. Die Auswahl in den App-Stores übertrifft damit das Sortiment jedes Retail-Software-Hauses um Längen. Die europäische Sicherheitsagentur ENISA beschäftigt sich in einem Report mit der Sicherheit von App-Stores.
Die wachsende Popularität dieses Vertriebskanals sei auch Cyber-Angreifern „keineswegs entgangen“, so die ENISA. Im Laufe letzten Jahres sei bereits „eine Anzahl“ schädlicher Apps entdeckt worden, die auf eine Vielzahl von Smartphone-Modellen zugeschnitten sind. „Mit schädlichen Apps können Angreifer ohne Weiteres auf den immensen Vorrat an privaten Daten zugreifen, der auf Smartphones zu finden ist“ schreiben die Autoren der Studie. Marnix Dekker und Giles Hogben. Dazu zählten vertrauliche, geschäftliche E-Mails, Aufenthaltsorte, Telefonanrufe und Textnachrichten. Über diese virulente Gefahr aber seien sich die Kunden der App-Stores „kaum bewusst“. Um moderne Smartphones vor solchen Anwendungen zu schützen, hat die ENISA „fünf Verteidigungslinien“ für App-Stores entwickelt: App-Prüfungen, Reputation, Kill-Switches, Gerätesicherheit und Jails.
1. APP-PRÜFUNGEN
Die ENISA rät App-Stores dazu, Apps zu prüfen, bevor sie über den Store zu kaufen sind. Obwohl solche Reviews niemals perfekt sein könnten, relativiert die Sicherheitsagentur, würden sie doch die Möglichkeiten einschränken, Malware über Apps zu verteilen. Es gebe Tools für die automatische Prüfung, die das Verfahren deutlich vereinfachen würden. Zusätzlich könnten manuelle Prüfroutinen für mehr Sicherheit sorgen. 
2.REPUTATION
Auch der gute Ruf einer App kann dazu beitragen, Gefahren abzuwenden. Daher sollten App-Stores potenziellen Kunden vorhandene Informationen über App-Entwickler und die Apps selber zur Verfügung stellen. In diesem Zusammenhang appelliert die ENISA an die Betreiber der Shops, auch App-Bewertungen aus anderen Plattformen für diese Informationen hinzuzuziehen. Nötig dafür wäre aber ein gemeinsamer Sicherheitsansatz der unterschiedlichen Plattformen und ihrer Protagonisten: Ein Problem sei es in diesem Zusammenhang, dass Anwender Apps oft aufgrund ihrer Funktionalität bewerteten, nicht aber aufgrund ihrer Sicherheitsfunktionen. Folgerichtig fordert die ENISA die Aufnahme solcher Bewertungskritierien (wie „Die App funktioniert prima, verlangt aber ausführliche Privilegien bei der Installation.“)
3.KILL-SWITCHES
Für fälschlicherweise in Umlauf gebrachte unsichere oder verseuchte Programme fordert die ENISA eine Rückruf-Option für die Shops. Um das zu ermöglichen, müssten aber Plattformen wie iOS oder Android entsprechende Mechanismen anbieten. Ein Kill-Switch muss in der Lage sein, eine App vom Gerät vollständig zu entfernen und einen Zustand wiederherzustellen, wie vor der Installation der Malware.
4.GERÄTESICHERHEIT
Die Verteidigungslinien der App-Stores hängen auch an der Sicherheit der Geräte, auf denen die Anwendungen laufen. Die Geräte sollten Apps in sogenannten Sandboxes installieren und betreiben. Das Absondern der App vom System soll verhindern, dass eine Anwendung sich in sicherheitsrelevante Bereiche hackt. Im „Sandkasten“ soll eine App zudem nur minimale Rechte und Privilegien bekommen. Auch das soll dem Eindringen in den Kern eines Betriebssystems vorbeugen. Schließlich fordert die ENISA, dass in der Sandbox für den Anwender sichtbar aufgezeichnet wird, was eine Anwendung dort genau macht.
5. JAILS
Die Anbieter von Smartphones und Plattformen können ihre Geräte so spezifizieren, dass sie ihre Apps nur von bestimmten Quellen beziehen können. Das verhindert zwar nicht jede Form von Malware, aber immerhin solche, die man sich „mal eben im Vorübergehen“ einfängt – etwa durch den Besuch einer interessanten, in Wirklichkeit aber „bösen“ Webseite. Landläufig bezeichnet man solchen Schutz als „umzäunte Gärten“ oder „Gefängnis“.
Die Smartphones, fordert die ENISA, sollten entweder gegen die Benutzung unsicherer Stores geblockt sein, oder – für fortgeschrittene Anwender – mindestens deutliche Warnungen vor der Installation von Apps aus unsicheren Quellen aussprechen. Auf diesen Punkt legt ENISA besonderen Wert: Wenn Anwender ihre Apps beliebig aus unterschiedlichen Quellen beziehen können, sei es einfach für Angreifer, ihre Malware unters Volk zu bringen. Andererseits ist auch zu viel Restriktion schlecht: Strenge Abschottung sei allenfalls eine Aufforderung für Anwender, die Schutzmechanismen gezielt außer Kraft zu setzen („Jailbreak“), um an andere Anwendungen zu gelangen. Insbesondere sollte die Umzäunung nicht genutzt werden, um legitimen Wettbewerb einzelner Anbieter zu verhindern.
Trotz der Unterschiede zwischen den einzelnen Smartphone- und Tablet-Modellen und der unterschiedlichen Vertriebsansätze der Shops rät die ENISA der App-Branche zu einem gemeinsamen Ansatz beim Umgang mit schädlichen oder unsicheren Anwendungen. Noch sei die Zahl schadhafter Apps bei Smartphones im Vergleich zu PCs „eher gering“, kommentiert Udo Helmbrecht, geschäftsführender Direktor der ENISA, der sich wünscht, dass das über die von seiner Organisation vorgeschlagenen Maßnahmen auch noch lange so bleibt. Der vollständige Report Appstore Security ist kostenlos bei der ENISA erhältlich.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*