20. Januar 2016

Mobile-Applikationen: Sicherer als gedacht

Mobile-Applikationen: Sicherer als gedacht <br/>

Mobile-Applikationen haftet immer noch der Ruf an, weniger sicher zu sein als ihre webbasierten Gegenstücke. In der Realität verhält es sich jedoch genau umgekehrt. Mobile-Applikationen sind aufgrund moderner Sicherheitskonzepte mobiler Betriebssysteme bedeutend sicherer als jeder PC oder jedes Notebook. Dies selbst dann, wenn manche Sicherheitsvorkehrungen vom Benutzer durch so genanntes Jailbreaking bzw. Rooting der Geräte aktiv unterwandert worden sind.

Jailbreaking und Rooting sind zwei Begriffe, die im Grunde das Gleiche bedeuten, sich aber auf unterschiedliche Betriebssysteme beziehen: Jailbreaking wird mit iPhones und weiteren mobilen Apple Geräten in Verbindung gebracht, Rooting mit Android-Geräten. Es sind Verfahren, welche zum Ziel haben mobile OS Schutzmechanismen zu umgehen beziehungsweise auszuhebeln. Dazu gehören die "Freischaltung" von Funktionen wie dem Lesen von SMS aus Fremdprogrammen, dem Mitschreiben von Tastatureingaben und nicht zuletzt auch die Ausführung von Fremdprogrammen.

Anleitungen für Jailbreaks oder Rooting sind im Internet zu finden und erfreuen sich gerade bei jüngeren Benutzern, welche sich nicht der Diktatur der Betriebssystemhersteller unterwerfen wollen, grosser Beliebtheit. 

Nun gibt es natürlich auch Verfahren, welche versuchen jailbroken oder gerootete Geräte zu erkennen. Unsinnigerweise werden diese auch immer noch von Sicherheitsfirmen in Security Audits empfohlen. Nur, was soll geschehen, wenn entsprechende Modifikationen erkannt worden sind? Soll man dem Benutzer die Verwendung des Gerätes unterbinden oder seine Services einschränken und ihn letztlich als Kunden verlieren?

Erkennung modifizierter Geräte ist schwierig

An dieser Stelle muss betont werden, dass die zuverlässige Erkennung modifizierter Geräte keine einfache Aufgabe ist. Jailbreak- und Rooting-Programme werden von äusserst erfahrenen Mobile-Sicherheitsspezialisten mittels tiefgreifender Analysen potentieller Schwachstellen entwickelt. Ähnlich qualifizierte „Experten“ mit kriminellem Hintergrund hätten daher kaum Schwierigkeiten, die Existenz ihres Schadcodes vor den relativ einfachen Prüfprogrammen zu verbergen. Für komplexere Prüfungen reichen die Befugnisse innerhalb der gegebenen Mobile OS Schutzmechanismen nicht aus. Um dies zu umgehen, müssten beim Benutzer weitreichende System-Berechtigungen eingefordert werden, welche die Applikation – für ihre eigentliche Funktion – gar nicht benötigt.

Sicherheitsbewusste Benutzer würden ein solches Vorgehen schnell durchschauen und ihre Zustimmung für die benötigten Funktionen untersagen.

Was am Ende des Tages bleibt, ist die Erkenntnis, dass die von manchen Benutzern mit etlichem Aufwand umgangenen Schutzmechanismen auf den aktuellen Desktop-Betriebssystemen nicht einmal im Ansatz existieren. Nur hat man sich hier bereits an diesen Umstand gewöhnt und versucht, mit Virenscannern und anderen "post mortem" Tools der Lage Herr zu werden. Wie die Praxis zeigt, liegt die eigentliche Schwachstelle von Web Lösungen aber beim Browser bzw. den durch Plug-Ins wie Adobe Flash, Silverlight oder Java neu hinzugefügten Funktionen. Nicht zuletzt auch deshalb, weil sie ausserhalb des Einflussbereichs von Virenscannern und Co. arbeiten.

Bei mobilen Geräten sieht die Situation auch hier wieder fundamental anders aus. Applikationen werden nur äusserst selten als reine Browser-Applikationen implementiert und falls doch, bieten mobile Browser in der Regel keine Möglichkeit Plugins zu installieren. Somit fehlen auch hier die Voraussetzungen für analoge Angriffsszenarien.

Weshalb werden Mobile-Applikationen trotzdem immer noch als unsicherer bewertet? Wie sonst sind Funktionen wie Freigabe einer mobil erfassten Zahlung zu werten?

Authentisierungsverfahren für Mobile-Anwendungen fehlen

Zurückzuführen ist dies letztendlich auf das Fehlen geeignet starker Authentisierungsverfahren für Mobile-Anwendungen. Noch immer richten sich die Verfahren an klassischen Desktop WEB Browser-Lösungen aus, welche für den mobilen Einsatz schlicht untauglich sind. Aber welcher Benutzer trägt neben dem Smartphone noch weitere Geräte mit sich herum, einzig um sich bei seiner Mobile-Applikation anzumelden? Auch das beliebte, jedoch sicherheitstechnisch überholte Zusenden eines Einmalpassworts auf das Mobiltelefon, genannt smsTAN, scheitert, da die Grundvoraussetzungen eines zweiten, unabhängigen Gerätes nicht mehr gegeben ist. Was bleibt sind typischerweise schwache Authentisierungsverfahren über Passwörter.

Dabei gäbe es sehr viel elegantere Verfahren, welche mit Zertifikaten oder Schlüsseln arbeiten, die wiederum über ein Passwort oder einen PIN verschlüsselt auf dem mobilen Gerät hinterlegt sind. Damit erfüllen diese Verfahren die Kriterien einer starken Zwei-Faktor-Authentisierung über die Faktoren Besitz (das Zertifikat) und Wissen (das Passwort bzw. der PIN).

Abschliessend kann gesagt werden: Mobile-Applikationen sind – geeignete Authentisierungsverfahren vorausgesetzt – selbst dann noch sicherer als Desktop-Anwendungen, wenn der Benutzer bereits alles getan hat, um die Schutzmechanismen per Jailbreak oder Rooting zu umgehen. Schade nur, dass die Dienstleistungsanbieter viele Mobile-Angebote noch nicht anbieten wollen.

Übrigens, gemäss den uns vorliegenden Informationen ist die tatsächliche Zahl der erkannten Angriffe – sofern es diese überhaupt gibt – auf den Mobile-Applikationen Schweizer Finanzdienstleister verschwindend gering. Insbesondere, wenn man den Vergleich zu entsprechenden Browserbasierten Lösungen zieht. Ob dies einzig und allein auf das geringe Serviceangebot zurückzuführen ist, bleibt dahingestellt.


Harald Böttcher
Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Ähnliche Artikel

Handling the Communication Channel Shift to Social Media
How to Mine Gold: Handling the Communication Channel Shift to Social Media

Data being the gold of the 21st century is a given fact by now. Still, most companies do not have a strategy on how to handle social media data, even though it has become the main channel of client communication. To tackle this problem, we recently carried out a ti&m garage with a major Swiss bank.

Mehr erfahren
2017_06_Rimle-Postauto
Autonome Postautos: unterwegs mit der Zukunft

Autonome Fahrzeuge // Die autonomen Postautos haben keinen Fahrer und können dank ihrer leistungsfähigen Sensoren problemlos navigieren. Zum ersten Mal testet ein Unternehmen diese Technologie in der Schweiz im öffentlichen Raum.

Mehr erfahren
HackZurich: This Is How 565 Techies Spent the Weekend
HackZurich: This Is How 565 Techies Spent the Weekend

565 registered participants, 152 submitted projects and 20280 hours of coding – the occasion was of course Hack Zurich, Europe’s biggest hackathon and one of the most anticipated events for ambitious hackers. The rainy weekend was the perfect opportunity for hackers from all over the world to get together in the Technopark and develop innovative solutions and new apps for the sponsor’s challenges. The goal: develop an amazing prototype and maybe, even disrupt a whole industry.

Mehr erfahren
2017_04_artificial-intelligence
Artificial Intelligence: Taking a Closer Look

Rapid advancements in and around our current state as a species have always challenged us to innovate new technologies: from farming to transportation, building to space exploration. Right now, Artificial Intelligence is experiencing a revolution. But how do you build such an advanced intelligence? Let’s take a closer look at history and some basics.

Mehr erfahren
commerce-container-export-379964
OpenShift vs. Kubernetes

Welche Vor- und Nachteile haben Kubernetes und OpenShift? Dieser Frage geht ti&m-Surfer Bernd Leinfelder in seinem aktuellen Blog-Beitrag nach.

Mehr erfahren
Eine neue Möglichkeit der Art Direction bei responsiven Bildern
Eine neue Möglichkeit der Art Direction bei responsiven Bildern

Das Jahr 2015 markiert ein Meilenstein in der digitalen Medienlandschaft. Zum ersten Mal verwendeten mehr Leute das Internet über mobile Geräte als über Desktop-Browser. Die Webseitenbetreiber haben deshalb ihre Webseiten responsive gestaltet. Je nach Gerät und Bildschirmgrösse wird das Layout der Seite anders dargestellt, so dass der Inhalt immer optimal sichtbar ist.

Mehr erfahren