20. January 2016

Mobile-Applikationen: Sicherer als gedacht

Mobile-Applikationen: Sicherer als gedacht <br/>

Mobile-Applikationen haftet immer noch der Ruf an, weniger sicher zu sein als ihre webbasierten Gegenstücke. In der Realität verhält es sich jedoch genau umgekehrt. Mobile-Applikationen sind aufgrund moderner Sicherheitskonzepte mobiler Betriebssysteme bedeutend sicherer als jeder PC oder jedes Notebook. Dies selbst dann, wenn manche Sicherheitsvorkehrungen vom Benutzer durch so genanntes Jailbreaking bzw. Rooting der Geräte aktiv unterwandert worden sind.

Jailbreaking und Rooting sind zwei Begriffe, die im Grunde das Gleiche bedeuten, sich aber auf unterschiedliche Betriebssysteme beziehen: Jailbreaking wird mit iPhones und weiteren mobilen Apple Geräten in Verbindung gebracht, Rooting mit Android-Geräten. Es sind Verfahren, welche zum Ziel haben mobile OS Schutzmechanismen zu umgehen beziehungsweise auszuhebeln. Dazu gehören die "Freischaltung" von Funktionen wie dem Lesen von SMS aus Fremdprogrammen, dem Mitschreiben von Tastatureingaben und nicht zuletzt auch die Ausführung von Fremdprogrammen.

Anleitungen für Jailbreaks oder Rooting sind im Internet zu finden und erfreuen sich gerade bei jüngeren Benutzern, welche sich nicht der Diktatur der Betriebssystemhersteller unterwerfen wollen, grosser Beliebtheit. 

Nun gibt es natürlich auch Verfahren, welche versuchen jailbroken oder gerootete Geräte zu erkennen. Unsinnigerweise werden diese auch immer noch von Sicherheitsfirmen in Security Audits empfohlen. Nur, was soll geschehen, wenn entsprechende Modifikationen erkannt worden sind? Soll man dem Benutzer die Verwendung des Gerätes unterbinden oder seine Services einschränken und ihn letztlich als Kunden verlieren?

Erkennung modifizierter Geräte ist schwierig

An dieser Stelle muss betont werden, dass die zuverlässige Erkennung modifizierter Geräte keine einfache Aufgabe ist. Jailbreak- und Rooting-Programme werden von äusserst erfahrenen Mobile-Sicherheitsspezialisten mittels tiefgreifender Analysen potentieller Schwachstellen entwickelt. Ähnlich qualifizierte „Experten“ mit kriminellem Hintergrund hätten daher kaum Schwierigkeiten, die Existenz ihres Schadcodes vor den relativ einfachen Prüfprogrammen zu verbergen. Für komplexere Prüfungen reichen die Befugnisse innerhalb der gegebenen Mobile OS Schutzmechanismen nicht aus. Um dies zu umgehen, müssten beim Benutzer weitreichende System-Berechtigungen eingefordert werden, welche die Applikation – für ihre eigentliche Funktion – gar nicht benötigt.

Sicherheitsbewusste Benutzer würden ein solches Vorgehen schnell durchschauen und ihre Zustimmung für die benötigten Funktionen untersagen.

Was am Ende des Tages bleibt, ist die Erkenntnis, dass die von manchen Benutzern mit etlichem Aufwand umgangenen Schutzmechanismen auf den aktuellen Desktop-Betriebssystemen nicht einmal im Ansatz existieren. Nur hat man sich hier bereits an diesen Umstand gewöhnt und versucht, mit Virenscannern und anderen "post mortem" Tools der Lage Herr zu werden. Wie die Praxis zeigt, liegt die eigentliche Schwachstelle von Web Lösungen aber beim Browser bzw. den durch Plug-Ins wie Adobe Flash, Silverlight oder Java neu hinzugefügten Funktionen. Nicht zuletzt auch deshalb, weil sie ausserhalb des Einflussbereichs von Virenscannern und Co. arbeiten.

Bei mobilen Geräten sieht die Situation auch hier wieder fundamental anders aus. Applikationen werden nur äusserst selten als reine Browser-Applikationen implementiert und falls doch, bieten mobile Browser in der Regel keine Möglichkeit Plugins zu installieren. Somit fehlen auch hier die Voraussetzungen für analoge Angriffsszenarien.

Weshalb werden Mobile-Applikationen trotzdem immer noch als unsicherer bewertet? Wie sonst sind Funktionen wie Freigabe einer mobil erfassten Zahlung zu werten?

Authentisierungsverfahren für Mobile-Anwendungen fehlen

Zurückzuführen ist dies letztendlich auf das Fehlen geeignet starker Authentisierungsverfahren für Mobile-Anwendungen. Noch immer richten sich die Verfahren an klassischen Desktop WEB Browser-Lösungen aus, welche für den mobilen Einsatz schlicht untauglich sind. Aber welcher Benutzer trägt neben dem Smartphone noch weitere Geräte mit sich herum, einzig um sich bei seiner Mobile-Applikation anzumelden? Auch das beliebte, jedoch sicherheitstechnisch überholte Zusenden eines Einmalpassworts auf das Mobiltelefon, genannt smsTAN, scheitert, da die Grundvoraussetzungen eines zweiten, unabhängigen Gerätes nicht mehr gegeben ist. Was bleibt sind typischerweise schwache Authentisierungsverfahren über Passwörter.

Dabei gäbe es sehr viel elegantere Verfahren, welche mit Zertifikaten oder Schlüsseln arbeiten, die wiederum über ein Passwort oder einen PIN verschlüsselt auf dem mobilen Gerät hinterlegt sind. Damit erfüllen diese Verfahren die Kriterien einer starken Zwei-Faktor-Authentisierung über die Faktoren Besitz (das Zertifikat) und Wissen (das Passwort bzw. der PIN).

Abschliessend kann gesagt werden: Mobile-Applikationen sind – geeignete Authentisierungsverfahren vorausgesetzt – selbst dann noch sicherer als Desktop-Anwendungen, wenn der Benutzer bereits alles getan hat, um die Schutzmechanismen per Jailbreak oder Rooting zu umgehen. Schade nur, dass die Dienstleistungsanbieter viele Mobile-Angebote noch nicht anbieten wollen.

Übrigens, gemäss den uns vorliegenden Informationen ist die tatsächliche Zahl der erkannten Angriffe – sofern es diese überhaupt gibt – auf den Mobile-Applikationen Schweizer Finanzdienstleister verschwindend gering. Insbesondere, wenn man den Vergleich zu entsprechenden Browserbasierten Lösungen zieht. Ob dies einzig und allein auf das geringe Serviceangebot zurückzuführen ist, bleibt dahingestellt.


Harald Böttcher
Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Ähnliche Artikel

Code Camp 750x410
The Night Is There for Coding: Here's What Happened at Our 30 Hour Code Camp.

During the last week of October, the very first ti&m code camp took place. 25 surfers, that’s what we call our agile employees, signed up to code for 30 hours and to resolve several technical challenges. Here’s what happened.

find more information
Welcome_Lead
Google Anthos – Die Cloud Platform der Zukunft

Niemand Geringeres als Urs Hölzle hat das Anthos-Projekt von Google in Zürich vorgestellt. Anthos soll nichts weniger als zum Linux für die Cloud werden. Unser Senior Software-Ingenieur Fabian Camenzind war dabei und gibt einen Einblick in die wesentlichen Features sowie die Vor- und Nachteile von Anthos.

find more information
Karin_Mathys_lead
The digital transformation is changing customer behaviour and expectations

Parts of the customer journey are gradually shifting to digital channels, but customers still value personal advice as well. In order to meet real expectations, companies will have to design their products and services with a strong focus on customers and their needs.

find more information
I do not love you
I do not love you

For most readers, the title above probably has a strong negative connotation. What if instead of "you", the name of a company was used? The statement still has the same negative connotation, but an opinion of a customer regarding a company might be even more sensitive – at least from a sales point of view. Such public reviews constitute important sources of information for both prospective clients and companies alike. How can one identify, ideally in an automated way, such polarised opinions in the vastness of today’s cyberspace?

find more information
cloud_bank_now_aws_blog
Der ideale Workload für die Cloud – Buildprozesse mit Spot-Instanzen

Eine der ersten Fragen, die sich im Cloud Kontext stellt, ist: Welche Workloads eignen sich für den ersten Schritt in die Cloud? Lesen Sie im Folgenden, weshalb Build- und Test-Prozesse für Software-Artefakte besonders geeignet sind und was es basierend auf den Erfahrungen aus unserem Projekt mit der BANK-now zu beachten gilt.

find more information
Glühbirne 750x410
Become a Digital Ambassador

find more information