Forscher warnen vor Open-Source-Bugs in kommerziellen Banking-Apps

Einer Studie zufolge kommen auf jede Banking-App im Durchschnitt 52 Open-Source-Schwachstellen. 60 Prozent dieser Apps haben mindestens eine kritische Lücke. Viele Anbieter haben offenbar gar keinen Überblick über den Open-Source-Code in ihren Anwendungen, was auch zu Lizenzproblemen führen kann.

Forscher von Black Duck Software weisen auf „erhebliche Risiken“ bei der Verwendung von Software hin, die Open-Source-Komponenten enthält. Im Rahmen einer Studie untersuchten sie 1000 Anwendungen, die häufig in Unternehmen zum Einsatz kommen. Darunter waren auch Banking-Apps, die im Durchschnitt jeweils 52 Open-Source-Anfälligkeiten enthielten. Bei 60 Prozent dieser Apps stuften die Forscher mindestens eine Schwachstelle als kritisch ein.

Bug entdeckt (Bild: Shutterstock)Von den untersuchten Apps nutzten 96 Prozent Open-Source-Komponenten. Bei 60 Prozent der Apps steckten in genau diesem Code gefährliche Schwachstellen. In einigen Fällen waren die Fehler sogar schon seit mehr als vier Jahren bekannt und nicht gepatcht worden.

Den höchsten Anteil von Software mit schwerwiegenden Open-Source-Lücken entdeckten die Forscher im Einzel- und Onlinehandel. Hier hatten 83 Prozent der Anwendungen als kritisch zu bewertende ungepatchte Schwachstellen im Open-Source-Code.

Entwickler greifen in der Regel auf Open Source zurück, um die Kosten für die Entwicklung eigener Anwendungen zu reduzieren. Zudem hilft der „fertige“ Code ihnen, ihre Produkte schneller zur Marktreife zu führen und ihre Apps um innovative Funktionen zu erweitern. Allerdings werden solche Open-Source-Projekte oftmals nur durch eine Community betreut, deren Mitglieder sich nur nebenbei und ohne Bezahlung um die Pflege des Codes kümmern können.

Baut eine kommerzielle Software auf einer Open-Source-Komponente auf, dann enthält sie unter Umständen auch deren Sicherheitslücken. Die Open-Source-Community stellt in der Regel zwar die benötigten Patches bereit, die jedoch nicht automatisch in die Anwendungen von Drittanbietern einfließen. Dafür sind ausschließlich deren Entwickler verantwortlich.

Laut der Studie ist vielen dieser Anbieter jedoch gar nicht bewusst, welche Teile ihrer Software auf Open Source basieren. Als Folge traten bei 85 Prozent der untersuchten Anwendungen Lizenz-Probleme auf. „Jeder benutzt viel Open Source, aber wie die Studie zeigt, leisten nur wenige bei der Erkennung und Überwachung von Open-Source-Komponenten und Anfälligkeiten in ihren Applikationen gute Arbeit“, sagte Chris Fearon, Direktor der Open Source Security Research Group von Black Duck.

Ein bekanntes Beispiel für eine Lücke in einer Open-Source-Software mit zahlreichen kommerziellen Implementierungen ist der als Heartbleed bezeichnete Bug in OpenSSL. Der Fehler, der unter anderem Webserver angreifbar macht, wurde im April 2014 entdeckt. Obwohl sich Hersteller beeilten, schnell Updates zu veröffentlichen, waren im Juni 2014 noch 300.000 Server weltweit betroffen. Ende Januar 2017, also mehr als zweieinhalb Jahre später, meldete die Suchmaschine Shodan noch knapp 200.000 Services, die auf einer für Heartbleed anfälligen OpenSSL-Version basieren.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Open Source, Security, Sicherheit, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Forscher warnen vor Open-Source-Bugs in kommerziellen Banking-Apps

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *