Analysetool für Android-Apps
10.000 Apps und eine Menge Sorgen
Forscher testen Android-Apps auf mögliche Sicherheitsmängel / Apps senden Daten an Server / Ein Viertel sendet unverschlüsselt
Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben 10.000 der beliebtesten Android-Apps getestet und zum Teil gravierende Sicherheitslücken und Datenschutzverletzungen aufgedeckt. „Android als Betriebssystem ist auf dem Vormarsch und es gibt bereits heute fast eine Million Android-Apps, Tendenz rapide steigend. Mit dem Test der beliebtesten 10.000 wollten wir uns ein umfassendes Bild von den Mängeln der Apps machen.“, so Dr. Julian Schütte, Projektleiter für Mobile Sicherheit am Fraunhofer AISEC. Alle Apps sind mit dem Analyse-Werkzeug App-Ray, das vom Team um Dr. Schütte entwickelt wurde, analysiert worden. App-Ray unterzieht Apps einer vollautomatischen Analyse und deckt mögliche Sicherheitsmängel auf. Hierzu forscht das Fraunhofer AISEC an statischen und dynamischen Analyseverfahren, mit denen sich sowohl typische Programmierfehler als auch unerwünschte Datenflüsse erkennen lassen.
Starkes „Sendungsbewusstsein“
Ein wichtiges Ergebnis des Tests ist, dass mehr als 9000 (91%) der getesteten 10.000 Apps eine Berechtigung (Permission) für den Aufbau einer Internetverbindung vom Nutzer verlangen. Dieser muss bei der Installation der jeweiligen App dieser Anfrage zustimmen, ohne zu wissen, wozu diese Verbindung genutzt wird. Weit kritischer für den Nutzer ist dabei die Tatsache, dass ein Großteil der Apps diese Verbindungen nutzt, um gleich beim Start der App ungefragt persönliche Daten zu verschicken. Insgesamt stellte der Test Datenübertragungen an 4358 Server in der ganzen Welt fest – ohne Wissen und Zutun des Nutzers. „Der technisch nicht versierte Nutzer hat nach der Installation keine Möglichkeit, zu prüfen, welche Verbindungen die App nach draußen tatsächlich aufbaut und welche Daten übermittelt werden. Die Frage, was die App mit den Permissions genau macht, bleibt offen.“, so Dr. Schütte weiter. Dabei ist die Verbindung zum Internet für viele Apps notwendig (News, Social Networks), jedoch ist sie bei Anwendungen wie einer Taschenlampen-App für den Benutzer nicht immer nachvollziehbar. Des Weiteren stellten die Forscher fest, dass ca. 7000 Apps (69 %) unverschlüsselt mit der Außenwelt kommunizieren. 448 Apps sendeten eindeutige persönliche Daten wie die IMEI an Server im Netz. Der Nutzer hat in den wenigsten Fällen Einflussmöglichkeiten. So starten 1732 der getesteten Apps direkt beim Start des Geräts und agieren permanent im Hintergrund. Ebenfalls signifikant ist mit fast 50 Prozent (4917) die hohe Anzahl der Apps, die den Aufenthaltsort des Gerätes bestimmen können. 3930 lesen den Gerätestatus aus.
Die Sicherheit des Nutzers wird zudem durch unzureichend programmierte Apps bedroht. "So gibt ein gutes Viertel (26 %) der Apps zwar vor, eine sichere Verbindung zum Internet aufzubauen, schaltet aber die Prüfung des Serverzertifikats explizit ab, so dass die Verbindung leicht angreifbar ist."
Weitere Details zum Test als Grafik unter http://ais.ec/10000
App-Ray: Vollautomatische Sicherheitsanalyse
App-Ray ist eine Lösung für Unternehmen und ermöglicht eine vollautomatische Analyse und Einschätzung der Sicherheit von Android-Apps nach vorher festgelegten Kriterien. Dabei stellen die Unternehmen den Katalog der Untersuchungskriterien selbst zusammen, so dass Analysen mit App-Ray genau auf die unternehmensspezifischen Anforderungen hin zugeschnitten sind. „Die IT-Abteilung kann zum Beispiel festlegen, dass Apps bestimmte Daten nicht oder nur verschlüsselt versenden dürfen, was in der heutigen Zeit eine zunehmend wichtige Rolle einnimmt“, so Dr. Julian Schütte. Zusätzlich zu einer Einschätzung der Sicherheit einer App in Bezug auf die definierten Kriterien stellt App-Ray transparent detaillierte Untersuchungsdaten zur Verfügung, die von Entwicklern und Sicherheitsexperten als Basis für eine eingehendere manuelle Untersuchung verwendet werden können.
Informationen zu App-Ray unter http://ais.ec/appray
Weitere Informationen zu den Mobile Security-Kompetenzen des Fraunhofer AISEC