20. Januar 2016

Mobile-Applikationen: Sicherer als gedacht

Mobile-Applikationen: Sicherer als gedacht <br/>

Mobile-Applikationen haftet immer noch der Ruf an, weniger sicher zu sein als ihre webbasierten Gegenstücke. In der Realität verhält es sich jedoch genau umgekehrt. Mobile-Applikationen sind aufgrund moderner Sicherheitskonzepte mobiler Betriebssysteme bedeutend sicherer als jeder PC oder jedes Notebook. Dies selbst dann, wenn manche Sicherheitsvorkehrungen vom Benutzer durch so genanntes Jailbreaking bzw. Rooting der Geräte aktiv unterwandert worden sind.

Jailbreaking und Rooting sind zwei Begriffe, die im Grunde das Gleiche bedeuten, sich aber auf unterschiedliche Betriebssysteme beziehen: Jailbreaking wird mit iPhones und weiteren mobilen Apple Geräten in Verbindung gebracht, Rooting mit Android-Geräten. Es sind Verfahren, welche zum Ziel haben mobile OS Schutzmechanismen zu umgehen beziehungsweise auszuhebeln. Dazu gehören die "Freischaltung" von Funktionen wie dem Lesen von SMS aus Fremdprogrammen, dem Mitschreiben von Tastatureingaben und nicht zuletzt auch die Ausführung von Fremdprogrammen.

Anleitungen für Jailbreaks oder Rooting sind im Internet zu finden und erfreuen sich gerade bei jüngeren Benutzern, welche sich nicht der Diktatur der Betriebssystemhersteller unterwerfen wollen, grosser Beliebtheit. 

Nun gibt es natürlich auch Verfahren, welche versuchen jailbroken oder gerootete Geräte zu erkennen. Unsinnigerweise werden diese auch immer noch von Sicherheitsfirmen in Security Audits empfohlen. Nur, was soll geschehen, wenn entsprechende Modifikationen erkannt worden sind? Soll man dem Benutzer die Verwendung des Gerätes unterbinden oder seine Services einschränken und ihn letztlich als Kunden verlieren?

Erkennung modifizierter Geräte ist schwierig

An dieser Stelle muss betont werden, dass die zuverlässige Erkennung modifizierter Geräte keine einfache Aufgabe ist. Jailbreak- und Rooting-Programme werden von äusserst erfahrenen Mobile-Sicherheitsspezialisten mittels tiefgreifender Analysen potentieller Schwachstellen entwickelt. Ähnlich qualifizierte „Experten“ mit kriminellem Hintergrund hätten daher kaum Schwierigkeiten, die Existenz ihres Schadcodes vor den relativ einfachen Prüfprogrammen zu verbergen. Für komplexere Prüfungen reichen die Befugnisse innerhalb der gegebenen Mobile OS Schutzmechanismen nicht aus. Um dies zu umgehen, müssten beim Benutzer weitreichende System-Berechtigungen eingefordert werden, welche die Applikation – für ihre eigentliche Funktion – gar nicht benötigt.

Sicherheitsbewusste Benutzer würden ein solches Vorgehen schnell durchschauen und ihre Zustimmung für die benötigten Funktionen untersagen.

Was am Ende des Tages bleibt, ist die Erkenntnis, dass die von manchen Benutzern mit etlichem Aufwand umgangenen Schutzmechanismen auf den aktuellen Desktop-Betriebssystemen nicht einmal im Ansatz existieren. Nur hat man sich hier bereits an diesen Umstand gewöhnt und versucht, mit Virenscannern und anderen "post mortem" Tools der Lage Herr zu werden. Wie die Praxis zeigt, liegt die eigentliche Schwachstelle von Web Lösungen aber beim Browser bzw. den durch Plug-Ins wie Adobe Flash, Silverlight oder Java neu hinzugefügten Funktionen. Nicht zuletzt auch deshalb, weil sie ausserhalb des Einflussbereichs von Virenscannern und Co. arbeiten.

Bei mobilen Geräten sieht die Situation auch hier wieder fundamental anders aus. Applikationen werden nur äusserst selten als reine Browser-Applikationen implementiert und falls doch, bieten mobile Browser in der Regel keine Möglichkeit Plugins zu installieren. Somit fehlen auch hier die Voraussetzungen für analoge Angriffsszenarien.

Weshalb werden Mobile-Applikationen trotzdem immer noch als unsicherer bewertet? Wie sonst sind Funktionen wie Freigabe einer mobil erfassten Zahlung zu werten?

Authentisierungsverfahren für Mobile-Anwendungen fehlen

Zurückzuführen ist dies letztendlich auf das Fehlen geeignet starker Authentisierungsverfahren für Mobile-Anwendungen. Noch immer richten sich die Verfahren an klassischen Desktop WEB Browser-Lösungen aus, welche für den mobilen Einsatz schlicht untauglich sind. Aber welcher Benutzer trägt neben dem Smartphone noch weitere Geräte mit sich herum, einzig um sich bei seiner Mobile-Applikation anzumelden? Auch das beliebte, jedoch sicherheitstechnisch überholte Zusenden eines Einmalpassworts auf das Mobiltelefon, genannt smsTAN, scheitert, da die Grundvoraussetzungen eines zweiten, unabhängigen Gerätes nicht mehr gegeben ist. Was bleibt sind typischerweise schwache Authentisierungsverfahren über Passwörter.

Dabei gäbe es sehr viel elegantere Verfahren, welche mit Zertifikaten oder Schlüsseln arbeiten, die wiederum über ein Passwort oder einen PIN verschlüsselt auf dem mobilen Gerät hinterlegt sind. Damit erfüllen diese Verfahren die Kriterien einer starken Zwei-Faktor-Authentisierung über die Faktoren Besitz (das Zertifikat) und Wissen (das Passwort bzw. der PIN).

Abschliessend kann gesagt werden: Mobile-Applikationen sind – geeignete Authentisierungsverfahren vorausgesetzt – selbst dann noch sicherer als Desktop-Anwendungen, wenn der Benutzer bereits alles getan hat, um die Schutzmechanismen per Jailbreak oder Rooting zu umgehen. Schade nur, dass die Dienstleistungsanbieter viele Mobile-Angebote noch nicht anbieten wollen.

Übrigens, gemäss den uns vorliegenden Informationen ist die tatsächliche Zahl der erkannten Angriffe – sofern es diese überhaupt gibt – auf den Mobile-Applikationen Schweizer Finanzdienstleister verschwindend gering. Insbesondere, wenn man den Vergleich zu entsprechenden Browserbasierten Lösungen zieht. Ob dies einzig und allein auf das geringe Serviceangebot zurückzuführen ist, bleibt dahingestellt.


Harald Böttcher
Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Ähnliche Artikel

Authentication vs. Authorization with OAuth, Does It Really Matter?
Authentication vs. Authorization with OAuth, Does It Really Matter?

While in the security field the terms authentication and authorization have a clearly defined definition, with the introduction of concepts such as “delegated authorization” ambiguity might arise. However, it seems that we know what we intend and therefore should we even bother with such discussions?

Mehr erfahren
Rüesch_Conrad_Special
Die Digitalisierung braucht agile Strategieprozesse

Althergebrachte Strategiezyklen werden den Anforderungen an die digitale Welt nicht mehr gerecht. Transformationsprozesse stellen völlig neue Anforderungen an die Art und Weise, wie die Strategie in Unternehmen entwickelt werden muss. Ständige Iterationen machen den Unterschied.

Mehr erfahren
Trust 750x410
Assurance nach ISAE 3000 für das ti&m-Hosting

ti&m hat das Hosting nach dem ISAE 3000-Standard auf Wirksamkeit der FINMA, Rundschreiben RS 2018/3 und RS 2008/21, prüfen lassen. Im Interview erklärt Karsten Burger, Head Innovation Hosting & Application Management bei ti&m, die Hintergründe und was dies für Vorteile für ti&m-Kunden hat. Zudem gibt er einen Einblick in die Erfolgsgeheimnisse des Hostings von ti&m.

Mehr erfahren
Wie „Joy“ das Einkaufserlebnis revolutionieren wird
Wie „Joy“ das Einkaufserlebnis revolutionieren wird

Nachdem das Jahr 2015 aus unserer Sicht als das Jahr des digitalen Portemonnaies zu Buche schlug, überlegten wir uns, wie wir die Akzeptanz des digitalen, bargeld- und kartenlosen Bezahlens an öffentlichen Verkaufspunkten fördern könnten. Geboren war die Idee einer virtuellen Registrierkasse, welche jegliche Art von digitalen Geldbörsen unterstützen würde.

Mehr erfahren
commerce-container-export-379964
OpenShift vs. Kubernetes

Welche Vor- und Nachteile haben Kubernetes und OpenShift? Dieser Frage geht ti&m-Surfer Bernd Leinfelder in seinem aktuellen Blog-Beitrag nach.

Mehr erfahren
aidonic2
Wie AIDONIC mithilfe von ti&m das Spendenwesen revolutionieren will

Das Spendenwesen krankt an Intransparenz und mangelnder Effizienz. Diese Probleme will das Schweizer Start-up AIDONIC von Severiyos Aydin lösen. In der ti&m garage erarbeiteten wir zusammen mit ihm einen ersten MVP in gerade einmal 2 Monaten. Das Projekt hat das Potenzial, das Spendenwesen weltweit zu revolutionieren.

Mehr erfahren