Application Security

Mobile Daten schützen: Handy-App Sicherheitstipps von einem ethischen Hacker

Mobile Daten schützen: Handy-App Sicherheitstipps von einem ethischen Hacker

Mangelndes Bewusstsein für IT-Security

Smartphones sind aus unserem heutigen Lebensstil nicht mehr wegzudenken. Der durchschnittliche Handy-Benutzer verwendet täglich über ca. 11 unterschiedliche Apps auf dem Smartphone. Aber nur ein geringer Anteil der Nutzer macht sich beim Download einer App auch Gedanken über den sicherheitstechnischen Aspekt dieser App.

Im Jahr 2016 wurden erstaunliche 90 Milliarden Apps heruntergeladen. Fast jeder Aspekt in unserem Lebensstil wird mittlerweile durch eine App abgedeckt. Messaging, Host-Meetings, Verwaltung der Finanzen, Rechnungen bezahlen, Ein- und Verkaufen, Fitness, Gesundheit, KFZ-Services, Wohnen, Essen, usw. Alle diese Apps sind bereits fester Bestandteil bei den Interaktionen in unserem Leben, sowohl privat als auch geschäftlich. Durch diese selbstverständliche Nutzung geht zunehmend der Blick auf die damit verbunden Gefahren verloren. Das Sicherheitsbewusstsein wird verdrängt.

Obwohl fast wöchentlich über schädliche oder manipulierte Apps berichtet wird, überwiegt das Vertrauen des Nutzers, dass die App, die er heruntergeladen hat, aus datenschutztechnischer Perspektive sicher ist.

David Jorm, Sicherheitsforscher und ethischer Hacker der Trustwave SpiderLabs, hat dieses fehlende Bewusstsein zum Anlass genommen, um App-Nutzern einige grundlegende Sicherheitstipps an die Hand zu geben.

Berechtigungsanfragen

Die ersten Warnglocken sollten angehen, wenn eine neu installierte Anwendung beim Start nach der Kontaktliste, dem Standort oder der Berechtigung zum Senden von SMS-Nachrichten frägt. Warum sollte beispielsweise eine Taschenrechner-App einen Zugriff auf ihre Kontaktliste benötigen?

Bevor Sie sich für den Download einer App entscheiden, sollten Sie vorab die Bewertungen und Nutzererfahrungen dazu recherchieren. Natürlich müssen auch diese Bewertungen nicht immer objektiv richtig sein, aber in Summe können Rezensionen zumindest eine gewisse Einschätzung der App vermitteln. Beispielsweise wurde eine App für Kunstausstellungen heruntergeladen. Über diese App konnten Fotos vom QR-Code neben dem Exponat gemacht werden, um weitere Informationen darüber zu erhalten. Eine eigentlich harmlose Funktion. Allerdings startete die App nach der Installation eine Reihe von Berechtigungsanfragen, wie z.B. das Lesen von SMS-Nachrichten. Überraschenderweise erhielt die App schlechte Bewertungen von Nutzern, die die Notwendigkeit für diese Berechtigungen in Frage stellten.

Wie diese Benutzer, sollten auch Sie über die Art der Berechtigungen, die die App anfordert, nochmal nachdenken. Natürlich ist es bequemer einfach auf “Ja“ beim Download zu klicken. Aber Ungeduld ist ein schlechter Berater bei IT-Security.

Datenspeicherung

Fast alle mobilen Apps werden Daten oder Dateien auf Ihrem Smartphone speichern. Diese Informationen reichen von unwichtigen zwischengespeicherten Daten bis hin zu hochsensiblen Daten, wie z.B. Ihr Bankguthaben und Kreditkartendetails. Generell gilt: Je mehr Daten lokal auf Ihrem Smartphone gespeichert werden, desto anfälliger ist es.

Apps benötigen keine Berechtigungen zum Speichern von Daten und sie haben auch mehrere Möglichkeiten wie sie dies tun können. Wenn der Code der App fehlerhaft ist, kann er die sensiblen Daten so speichern, dass er auch von einer anderen App auf Ihrem Gerät gelesen werden kann.

Fortgeschrittene Benutzer können ihr Smartphone manuell überprüfen, um zu sehen, welche Daten gespeichert werden. Aber für die meisten Benutzer ist es einfach eine Frage des Vertrauens, dass der App-Entwickler eine sichere, verschlüsselte Datenspeicherung verwendet.

Um dieses Risiko zu verringern ist es daher sehr wichtig, dass Sie nur Apps aus vertrauenswürdigen Quellen und seriösen App-Stores herunterladen.

Datenübertragung

Fast alle Apps – auch Offline-Spiele – kommunizieren mit einem Remote-Service oder System. Jede App tauscht also Daten ohne Ihr Wissen mit anderen Anwendungen, Hosts und Services aus. Wenn diese ausgetauschten Daten, die auch einen sensiblen Charakter haben können, bei der Übertragung nicht stark verschlüsselt sind, könnte ein Man-in-the-Middle-Angreifer diese abfangen, aufzeichnen oder verändern. Cyberkriminelle setzen zunehmend gefälschte Wi-Fi-Hotspots ein, um alle Arten von Informationen zu stehlen, einschließlich Anmeldeinformationen, vertrauliche Daten und vertrauliche Dokumente. Apps können auch Ihre persönlichen Daten an Dritte weitergeben. Diese sind in der Regel demographische Daten, wie Alter und Geschlecht, aber es könnte auch Ihr aktueller Standort oder hochsensible Informationen sein.

Die beste Verteidigung gegen das Abfangen von sensiblen Daten ist die ausschließliche Nutzung von vertrauenswürdigen Netzwerken. Freie öffentliche Hotspots können problemlos von Angreifern eingerichtet werden, um den Zugriff auf Ihre Daten zu erhalten.

Veraltete Apps

Wenn Sie eine veraltete Version ihrer App weiterhin auf dem Smartphone ausführen, setzen Sie sich einem potentiellen Sicherheitsrisiko aus. Hacker könnten in der App Schwachstellen entdecken und ausnutzen, die evtl. in der aktuellen Version bereits behoben worden wären.

Halten Sie Ihre Apps immer auf dem aktuellen Stand. Seriöse App-Shop Anbieter bieten immer automatische Updates für den Benutzer an. iPhone Benutzer können unter „Einstellungen“, scroll nach unten und iTunes und App Store auswählen, automatische Downloads für Apps, Musik, Bücher und Updates aktivieren. Android-Benutzer öffnen die Google Play Store App, tippen auf das Symbol „Menu“, wählen „Settings“ und tippen auf „Auto-update Apps“.

Herkunft und Integrität der App

Leider können aber auch vertrauenswürdige App-Stores keine 100%-ige Garantie mehr für malwarefreie und sichere Apps geben. Die Genehmigungsprozesse sind nicht unfehlbar. Apple und Google müssen täglich mit einer Flut von gefälschten und unsicheren Apps umgehen, die durch schlecht ausgebildete Entwickler oder bösartige Hacker eingereicht werden. Jüngstes Beispiel dazu sind die vor kurzem durch Google entfernten böswilligen Apps, die millionenfach von Nutzern heruntergeladen wurden. Zudem wächst die Zahl der Drittanbieter App-Stores, die legitime, aber auch verseuchte Apps anbieten.

Fazit

Es gibt noch viele Herausforderungen bei der Verbesserung der IT-Sicherheit bei mobilen Apps und den mobilen Geräten.

Bleiben Sie wachsam und misstrauisch. Überdenken Sie Ihre App-Downloads. Studieren Sie die Rezensionen einer App. Bevorzugen Sie nur vertrauenswürdige App-Stores. Überlegen Sie welche Informationen Sie der App preisgeben wollen. Benutzen Sie die App nur über vertrauenswürdige, verschlüsselte Netzwerkverbindungen. Nutzen Sie vertrauenswürdige Security-Lösungen auf Ihrem Smartphone. Stärken Sie Ihr Bewusstsein für IT-Security.