Mobile Banking

Wie sicher sind heutige mobile Banking-Apps?

, München, NowSecure

Wie sicher sind heutige mobile Banking-Apps?

Wie steht es um den aktuellen Sicherheitsstand von mobilen Banking-Apps?

Um den Finanzinstituten dabei zu helfen, die Herausforderungen bei der Bereitstellung von sicheren mobilen Anwendungen für Finanzdienstleistungen zu verstehen und zu überwinden, hat NowSecure mit Accenture Consulting eine Studie erstellt, die den aktuellen Stand des Sicherheitsniveaus von mobilen Banking-Apps bei 15 unterschiedlichen Finanzinstituten analysiert.

Die Studie enthält Daten aus den Anfälligkeitsbewertungen von 30 mobilen Anwendungen – halb Android und halb iOS. Die Studie, die als White Paper veröffentlicht wurde, beschäftigt sich vor allem mit der Beantwortung von 3 Kernfragen:

  • Wo stehen heutige mobile Banking-Apps im Hinblick auf die Sicherheit?
  • Was sind die häufigsten Sicherheitsmängel in mobilen Banking-Apps?
  • Wie können Finanzinstitute die Sicherheitslücken bei den eigens entwickelten mobilen Anwendungen erkennen und beheben?

30 mobile Banking-Apps analysiert

Der Informationsreichtum, der über mobile Geräte gespeichert und übertragen wird, schafft einzigartige Sicherheitsrisiken und bietet ein wertvolles Ziel für potentielle Angreifer, unabhängig von deren Motiv. Kundenorientierte mobile Apps speichern und übermitteln nicht nur allgemeine Benutzerinformationen, sondern auch vertrauliche und sensible Informationen wie Finanz- und Transaktionsdaten, die bei einer entsprechenden Kompromittierung des Smartphones missbraucht werden können.

Darüber hinaus sind mobile Geräte, die für den Zugriff auf Unternehmensinhalte verwendet werden, eine potentielles Einfallstor für Cyberkriminelle, wenn die notwendigen BYOD-Sicherheitsrichtlinien in den Unternehmen nicht sauber umgesetzt und permanent überprüft werden. Folgen können neben den finanziellen Auswirkungen auch rechtliche Risiken, Compliance-Probleme, Verlust geistigen Eigentums oder Reputationsschäden am Unternehmen sein. Verlorene oder gestohlene Geräte können zudem einen großen Vorteil für Angreifer schaffen, um schädliche Aktivitäten auszuführen – z. B. die Verwendung eines Geräts als Startpunkt für ein Angriffs- oder Betrugs-Szenario. Diese Komplexität erhöht die Angriffsfläche mit mobilen Geräten, die ständig die Grenzen eines Sicherheitsumfeldes in einer Organisation herausfordern.

Viele Entwickler haben bisher nicht umfassend über die dynamischen Komplexitäten der mobilen Umgebungen nachgedacht. Im Gegensatz zu Web-Apps sammeln, speichern und übermitteln Mobile-Apps permanent Daten – z.B.: ein Foto von einem Scheck mit der entsprechenden Bankkontonummer? Entwickler sollten ihr Sicherheitsbewusstsein schärfen und für jede einzigartige App auch sichere Designs, während des gesamten Entwicklungslebenszyklus, verwenden.

Testumgebung

Accenture und NowSecure analysierten die Mobile Banking-App-Bedrohungslandschaft zusammen mit den Banken und erstellten von den kundenorientierten Mobile Banking-Apps sogenannte Anfälligkeitsbewertungen. Die Schwachstellenbewertungen für 30 kundenorientierte mobile Banking-Apps wurden auf dem nordamerikanischen Markt durchgeführt. Für die Bewertungsmethodik der Schwachstellen wurde das NowSecure Lab Automated Tool benutzt. Mit dieser vollautomatischen, Cloud-basierte Plattform konnten sowohl statische, als auch dynamische Analysen durchgeführt werden.

Für die Analyse wurden Beispiel-basierte Ansätze entwickelt, um möglichst ein reales Sicherheitsumfeld für den Test der kundenorientierten Banking-Apps zu simulieren.

Folgende Schlüsselfragen sollten dabei beantwortet werden:

  1. Wie schnell reagieren Finanzinstitute auf die Identifikation und Sanierung von risikobehafteten mobilen App-Schwachstellen?
  2. Werden die erkannten App-Sicherheitsprobleme bei der Erstellung von neuen Banking-Apps berücksichtigt?
  3. Wie haben Bankinstitute zusätzliche Kontrollschichten, wie z.B die Multifaktor-Authentifizierung, übernommen, um ein unsicheres Nutzerverhalten bei mobilen Banking-Apps auszugleichen?

Angesichts der Zunahme der mobilen Entwicklung ist es entscheidend, dass die Sicherheit immer an höchster Ebene in den App-Entwicklungslebenszyklus eingebettet ist. Das Endbenutzerverhalten und die sicheren Entwicklungspraktiken sind für die Sicherheit sensibler Daten, wie z. B. die gespeicherten Informationen (Geräte) und deren Übertragung (Server-Seite), ausschlaggebend.

35 Prozent mit unverschlüsselter Kommunikation

Nach der NowSecure-Analyse wurden 35 Prozent der von mobilen Geräten gesendeten Kommunikationen unverschlüsselt versendet.

Dabei verband sich das durchschnittliche Gerät täglich mit über 160 eindeutigen IP-Adressen. NowSecure schätzte auch, dass 43 Prozent der Mobilgerätebenutzer keinen Passcode, PIN oder Pattern Lock auf ihren Geräten verwendet hatten. Zudem wies mindestens eine von vier Apps ein Sicherheitsrisiko mit hohem Risiko auf.

Wie in dieser Abbildung dargestellt, gibt es drei Punkte in der mobilen Technologie-Kette, bei denen Angreifer Schwachstellen ausnutzen können – das mobile Gerät, das Netzwerk und das Rechenzentrum.

Folgend werden einige Sicherheitsrisiken aufgeführt, die durch die Schwachstellenbewertungen ans Tageslicht kamen:

World-Writable Files

Das Erstellen von world writebale files ist ein Sicherheitsrisiko, da es anderen Apps erlauben könnte, Schreibzugriffe auf sensible Dateien zu bekommen. Das führt zu potenziellen Sicherheitslücken. Ungefähr 33% der getesteten Banking-Apps, die auf AndroidTM OS liefen, hatten eine Datei erstellt oder geändert, so dass sie über die erhaltenen Dateiberechtigungen, anderen Apps erlauben konnten, darauf zu schreiben.

Unterbrochener SSL-Check / Sensible Daten im Transit

Ungefähr bei 13% der getesteten Banking-Apps, die auf AndroidTM OS liefen, wurden keine ordnungsgemäßen Zertifikatsvalidierungen oder Hostnamen-Überprüfungen durchgeführt. Die fehlende korrekte Zertifikatsvalidierung könnte dazu führen, dass sensible Daten über einen Man-in-the-Middle-Angriff abgefangen werden. Im Gegensatz zu Android hatten alle getesteten Apps, die auf iOS® OS liefen, eine ordnungsgemäße Zertifikatsvalidierung und Hostname Überprüfung durchgeführt.

Writable Executables

Eine beschreibbare ausführbare Datei ist zunächst keine Anfälligkeit für sich alleine, aber in Kombination mit einem anderen Problem kann es zu zusätzlichen App-Schwachstellen führen, die eine App für eine Remotecodeausführung anfällig machen. Ungefähr 7% der getesteten Banking-Apps, die auf AndroidTM OS liefen, hatten beschreibbare ausführbare Dateien.

Die gesamte Studie von NowSecure und Accenture Consulting können Sie hier herunterladen.

written by Herbert Wieler