20. January 2016

Mobile-Applikationen: Sicherer als gedacht

Mobile-Applikationen: Sicherer als gedacht <br/>

Mobile-Applikationen haftet immer noch der Ruf an, weniger sicher zu sein als ihre webbasierten Gegenstücke. In der Realität verhält es sich jedoch genau umgekehrt. Mobile-Applikationen sind aufgrund moderner Sicherheitskonzepte mobiler Betriebssysteme bedeutend sicherer als jeder PC oder jedes Notebook. Dies selbst dann, wenn manche Sicherheitsvorkehrungen vom Benutzer durch so genanntes Jailbreaking bzw. Rooting der Geräte aktiv unterwandert worden sind.

Jailbreaking und Rooting sind zwei Begriffe, die im Grunde das Gleiche bedeuten, sich aber auf unterschiedliche Betriebssysteme beziehen: Jailbreaking wird mit iPhones und weiteren mobilen Apple Geräten in Verbindung gebracht, Rooting mit Android-Geräten. Es sind Verfahren, welche zum Ziel haben mobile OS Schutzmechanismen zu umgehen beziehungsweise auszuhebeln. Dazu gehören die "Freischaltung" von Funktionen wie dem Lesen von SMS aus Fremdprogrammen, dem Mitschreiben von Tastatureingaben und nicht zuletzt auch die Ausführung von Fremdprogrammen.

Anleitungen für Jailbreaks oder Rooting sind im Internet zu finden und erfreuen sich gerade bei jüngeren Benutzern, welche sich nicht der Diktatur der Betriebssystemhersteller unterwerfen wollen, grosser Beliebtheit. 

Nun gibt es natürlich auch Verfahren, welche versuchen jailbroken oder gerootete Geräte zu erkennen. Unsinnigerweise werden diese auch immer noch von Sicherheitsfirmen in Security Audits empfohlen. Nur, was soll geschehen, wenn entsprechende Modifikationen erkannt worden sind? Soll man dem Benutzer die Verwendung des Gerätes unterbinden oder seine Services einschränken und ihn letztlich als Kunden verlieren?

Erkennung modifizierter Geräte ist schwierig

An dieser Stelle muss betont werden, dass die zuverlässige Erkennung modifizierter Geräte keine einfache Aufgabe ist. Jailbreak- und Rooting-Programme werden von äusserst erfahrenen Mobile-Sicherheitsspezialisten mittels tiefgreifender Analysen potentieller Schwachstellen entwickelt. Ähnlich qualifizierte „Experten“ mit kriminellem Hintergrund hätten daher kaum Schwierigkeiten, die Existenz ihres Schadcodes vor den relativ einfachen Prüfprogrammen zu verbergen. Für komplexere Prüfungen reichen die Befugnisse innerhalb der gegebenen Mobile OS Schutzmechanismen nicht aus. Um dies zu umgehen, müssten beim Benutzer weitreichende System-Berechtigungen eingefordert werden, welche die Applikation – für ihre eigentliche Funktion – gar nicht benötigt.

Sicherheitsbewusste Benutzer würden ein solches Vorgehen schnell durchschauen und ihre Zustimmung für die benötigten Funktionen untersagen.

Was am Ende des Tages bleibt, ist die Erkenntnis, dass die von manchen Benutzern mit etlichem Aufwand umgangenen Schutzmechanismen auf den aktuellen Desktop-Betriebssystemen nicht einmal im Ansatz existieren. Nur hat man sich hier bereits an diesen Umstand gewöhnt und versucht, mit Virenscannern und anderen "post mortem" Tools der Lage Herr zu werden. Wie die Praxis zeigt, liegt die eigentliche Schwachstelle von Web Lösungen aber beim Browser bzw. den durch Plug-Ins wie Adobe Flash, Silverlight oder Java neu hinzugefügten Funktionen. Nicht zuletzt auch deshalb, weil sie ausserhalb des Einflussbereichs von Virenscannern und Co. arbeiten.

Bei mobilen Geräten sieht die Situation auch hier wieder fundamental anders aus. Applikationen werden nur äusserst selten als reine Browser-Applikationen implementiert und falls doch, bieten mobile Browser in der Regel keine Möglichkeit Plugins zu installieren. Somit fehlen auch hier die Voraussetzungen für analoge Angriffsszenarien.

Weshalb werden Mobile-Applikationen trotzdem immer noch als unsicherer bewertet? Wie sonst sind Funktionen wie Freigabe einer mobil erfassten Zahlung zu werten?

Authentisierungsverfahren für Mobile-Anwendungen fehlen

Zurückzuführen ist dies letztendlich auf das Fehlen geeignet starker Authentisierungsverfahren für Mobile-Anwendungen. Noch immer richten sich die Verfahren an klassischen Desktop WEB Browser-Lösungen aus, welche für den mobilen Einsatz schlicht untauglich sind. Aber welcher Benutzer trägt neben dem Smartphone noch weitere Geräte mit sich herum, einzig um sich bei seiner Mobile-Applikation anzumelden? Auch das beliebte, jedoch sicherheitstechnisch überholte Zusenden eines Einmalpassworts auf das Mobiltelefon, genannt smsTAN, scheitert, da die Grundvoraussetzungen eines zweiten, unabhängigen Gerätes nicht mehr gegeben ist. Was bleibt sind typischerweise schwache Authentisierungsverfahren über Passwörter.

Dabei gäbe es sehr viel elegantere Verfahren, welche mit Zertifikaten oder Schlüsseln arbeiten, die wiederum über ein Passwort oder einen PIN verschlüsselt auf dem mobilen Gerät hinterlegt sind. Damit erfüllen diese Verfahren die Kriterien einer starken Zwei-Faktor-Authentisierung über die Faktoren Besitz (das Zertifikat) und Wissen (das Passwort bzw. der PIN).

Abschliessend kann gesagt werden: Mobile-Applikationen sind – geeignete Authentisierungsverfahren vorausgesetzt – selbst dann noch sicherer als Desktop-Anwendungen, wenn der Benutzer bereits alles getan hat, um die Schutzmechanismen per Jailbreak oder Rooting zu umgehen. Schade nur, dass die Dienstleistungsanbieter viele Mobile-Angebote noch nicht anbieten wollen.

Übrigens, gemäss den uns vorliegenden Informationen ist die tatsächliche Zahl der erkannten Angriffe – sofern es diese überhaupt gibt – auf den Mobile-Applikationen Schweizer Finanzdienstleister verschwindend gering. Insbesondere, wenn man den Vergleich zu entsprechenden Browserbasierten Lösungen zieht. Ob dies einzig und allein auf das geringe Serviceangebot zurückzuführen ist, bleibt dahingestellt.


Harald Böttcher
Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Ähnliche Artikel

Lazy Angular: Writing Scalable AngularJS Apps
Lazy Angular: Writing Scalable AngularJS Apps

There are two major issues I have faced in the past few years, when writing AngularJS applications, and I have seen numerous other teams fighting the same battles. Out of these experiences the “Lazy Angular” approach came to life. It gives us a project structure which works for both, large and small applications. And it enables us to keep a somewhat consistent load time as new features come to life and our app grows.

find more information
Multi-Project Development Environment Setup<br/>
The Developer’s Nightmare: Multi-Project Development Environment Setup

If you are a developer, you have had to set up your development environment for any of your projects. Database, application server, index, and so on. That might go smoothly… or not. If the first applies, CONGRATULATIONS! And get to work ;) but if not, then welcome to the non-smooth environment setup problem. Even worse, what if you need to have different environments for different projects (e.g. database versions)? And what if you need to reset one, but keep the others untouched?

find more information
2017_06_Rimle-Postauto
Autonome Postautos: unterwegs mit der Zukunft

Autonome Fahrzeuge // Die autonomen Postautos haben keinen Fahrer und können dank ihrer leistungsfähigen Sensoren problemlos navigieren. Zum ersten Mal testet ein Unternehmen diese Technologie in der Schweiz im öffentlichen Raum.

find more information
emily-morter-188019-unsplash
Cloud Computing – Macht NoOps den IT-Betrieb bald überflüssig?

Während viele Unternehmen noch damit beschäftigt sind, im Rahmen ihrer agilen Transformation eine DevOps-Kultur einzuführen, entwickelt sich im Tooling-Bereich schon der Begriff NoOps, um weitere Schritte auf dem Weg zur vollständigen Automatisierung im Software-Betrieb zu beschreiben. Braucht es in Zukunft überhaupt noch ein Operations-Team?

find more information
domenico_fontana_lead
"Das Projekt SHIP ist ein riesiger Schritt bei der Digitalisierung"

Durch das Projekt SHIP haben Krankenversicherungen und Leistungserbringer eine gemeinsame Sprache gefunden. Im Interview erklärt der CEO der SASIS AG, Domenico Fontana, warum das Projekt ein Meilenstein für die Digitalisierung im Gesundheitswesen ist und welche entscheidende Rolle ti&m in dem fast zehn Jahre dauernden Unterfangen spielte.

find more information
SAM 750x410
Meet SAM, the Secure Artificial Intelligent Messenger

Back in November, we told you about the very first ti&m code camp, where our employees were tasked with finding innovative solutions to several technical challenges. In today’s interview, we have decided to speak with the winning team about “SAM”, their artificial intelligence application, and find out more about how the solution was built, how accurate it is and what their plans for the future are.

find more information