Fraunhofer-Institut kritisiert mangelnde Sicherheit von Android-Apps

Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) hat 10.000 häufig eingesetzte Android-Apps auf ihre Sicherheit überprüft. Dazu nutzten die Forscher ihr im Herbst 2013 vorgestelltes Analyse-Werkzeug App-Ray. Das Ergebnis: Die getesteten Anwendungen weisen zum Teil gravierende Sicherheitsmängel auf und verletzen gängige Datenschutzpraktiken. Vor allem bei der Verschlüsselung sieht das Fraunhofer AISEC Verbesserungsbedarf.

„Android als Betriebssystem ist auf dem Vormarsch und es gibt bereits heute fast eine Million Android-Apps, Tendenz rapide steigend. Mit dem Test der beliebtesten 10.000 wollten wir uns ein umfassendes Bild von den Mängeln der Apps machen“, erklärt Julian Schütte, Projektleiter für Mobile Sicherheit am Fraunhofer AISEC.

91 Prozent der 10.000 getesteten Apps fordern dem Fraunhofer-Test zufolge bei der Installation eine Berechtigung für den Aufbau einer Internetverbindung an. Das ist für die Funktion der App in der Regel auch erforderlich – aber zum Beispiel bei einer Taschenlampen-App für den Benutzer nicht immer nachvollziehbar. Bedenklich ist allerdings die Tatsache, dass ein großer Teil der Apps diese Verbindungen umgehend nutzt, um ohne weitere Nachfrage beim Nutzer persönliche Daten zu verschicken. Insgesamt stellte der Test derartige Datenübertragungen an 4358 in der ganzen Welt verteilte Server fest.

„Der technisch nicht versierte Nutzer hat nach der Installation keine Möglichkeit, zu prüfen, welche Verbindungen die App nach draußen tatsächlich aufbaut und welche Daten übermittelt werden. Die Frage, was die App mit den Berechtigungen genau macht, bleibt offen“, so Schütte in einer Pressemitteilung.

Die Forscher fanden zudem heraus, dass 69 Prozent der untersuchten Apps unverschlüsselt mit der Außenwelt kommunizieren. Darüber hinaus wird die Sicherheit der Nutzer durch unzureichend programmierte Anwendungen bedroht. „So gibt ein gutes Viertel der Apps zwar vor, eine sichere Verbindung zum Internet aufzubauen, schaltet aber die Prüfung des Serverzertifikats explizit ab, so dass die Verbindung leicht angreifbar ist“, erklärt Schütte.

Von den geprüften Apps senden 448 eindeutige persönliche Daten wie die IMEI an Server im Netz. Einflussmöglichkeiten haben Nutzer in den wenigsten Fällen. Dazu trägt auch bei, dass 1732 der getesteten Apps direkt mit dem Gerät starten und permanent im Hintergrund laufen. Fast 50 Prozent der Programme können zudem den Aufenthaltsort des Geräts bestimmen. Und 3930 lesen den Gerätestatus aus.

Zu ähnlichen Ergebnissen sind auch Sicherheitsforscher aus Bremen gekommen. Die Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und deren Kommunikationsverhalten und Software-Code analysiert. Dabei identifizierten sie zwei immer wieder auftauchende Probleme: zu weitreichende Berechtigungen und Lücken in der SSL-Verschlüsselung.

TZI-Mitarbeiter Karsten Sohr bemängelt genau wie seine Fraunhofer-Kollegen, dass die Apps eine lange Liste von Berechtigungen anfordern, von denen viele für die Funktionalität gar nicht benötigt werden. Das gefährdet nicht nur den Datenschutz, sondern auch die Sicherheit. „Das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen“ – ohne dass der Nutzer das bemerkt, wie Christian Liebig erklärt, der am TZI seine Master-Arbeit über das Thema schreibt.

Das zweite, von den Bremer Wissenschaftlern immer wieder entdeckte Einfallstor, ist die unsaubere Implementierung der SSL-Verschlüsselung. „Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert“, so Sohr.

Die vom Fraunhofer AISEC entwickelte Prüfsoftware App-Ray lässt sich auch von Unternehmen nutzen. Sie ermöglicht die automatische Analyse und Einschätzung der Sicherheit von Android-Apps nach zuvor vom Unternehmen definierten Kriterien. Zusätzlich kann die IT-Abteilung festlegen, dass Apps Daten nur verschlüsselt übermitteln dürfen. Außerdem stellt die App eine Liste detaillierter Ergebnisse zur Verfügung, die von Sicherheitsexperten als Basis für genauere manuelle Untersuchungen verwendet werden können.

Mit App-Ray können Smartphones überprüft werden, es lässt sich aber auch in Enterprise-App-Stores und Mobile-Device-Management-Lösungen integrieren. Hierfür bietet Fraunhofer AISEC die Dienstleistung der Adaption und Integration in Unternehmens-Umgebungen an. Auf der am 10. März startenden CeBIT in Hannover zeigt das Institut die Lösung in Halle 9 an Stand E40.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de