Forscher warnen vor Open-Source-Bugs in kommerziellen Banking-Apps

Forscher von Black Duck Software weisen auf „erhebliche Risiken“ bei der Verwendung von Software hin, die Open-Source-Komponenten enthält. Im Rahmen einer Studie untersuchten sie 1000 Anwendungen, die häufig in Unternehmen zum Einsatz kommen. Darunter waren auch Banking-Apps, die im Durchschnitt jeweils 52 Open-Source-Anfälligkeiten enthielten. Bei 60 Prozent dieser Apps stuften die Forscher mindestens eine Schwachstelle als kritisch ein.

Von den untersuchten Apps nutzten 96 Prozent Open-Source-Komponenten. Bei 60 Prozent der Apps steckten in genau diesem Code gefährliche Schwachstellen. In einigen Fällen waren die Fehler sogar schon seit mehr als vier Jahren bekannt und nicht gepatcht worden.

Den höchsten Anteil von Software mit schwerwiegenden Open-Source-Lücken entdeckten die Forscher im Einzel- und Onlinehandel. Hier hatten 83 Prozent der Anwendungen als kritisch zu bewertende ungepatchte Schwachstellen im Open-Source-Code.

Entwickler greifen in der Regel auf Open Source zurück, um die Kosten für die Entwicklung eigener Anwendungen zu reduzieren. Zudem hilft der „fertige“ Code ihnen, ihre Produkte schneller zur Marktreife zu führen und ihre Apps um innovative Funktionen zu erweitern. Allerdings werden solche Open-Source-Projekte oftmals nur durch eine Community betreut, deren Mitglieder sich nur nebenbei und ohne Bezahlung um die Pflege des Codes kümmern können.

Baut eine kommerzielle Software auf einer Open-Source-Komponente auf, dann enthält sie unter Umständen auch deren Sicherheitslücken. Die Open-Source-Community stellt in der Regel zwar die benötigten Patches bereit, die jedoch nicht automatisch in die Anwendungen von Drittanbietern einfließen. Dafür sind ausschließlich deren Entwickler verantwortlich.

Laut der Studie ist vielen dieser Anbieter jedoch gar nicht bewusst, welche Teile ihrer Software auf Open Source basieren. Als Folge traten bei 85 Prozent der untersuchten Anwendungen Lizenz-Probleme auf. „Jeder benutzt viel Open Source, aber wie die Studie zeigt, leisten nur wenige bei der Erkennung und Überwachung von Open-Source-Komponenten und Anfälligkeiten in ihren Applikationen gute Arbeit“, sagte Chris Fearon, Direktor der Open Source Security Research Group von Black Duck.

Ein bekanntes Beispiel für eine Lücke in einer Open-Source-Software mit zahlreichen kommerziellen Implementierungen ist der als Heartbleed bezeichnete Bug in OpenSSL. Der Fehler, der unter anderem Webserver angreifbar macht, wurde im April 2014 entdeckt. Obwohl sich Hersteller beeilten, schnell Updates zu veröffentlichen, waren im Juni 2014 noch 300.000 Server weltweit betroffen. Ende Januar 2017, also mehr als zweieinhalb Jahre später, meldete die Suchmaschine Shodan noch knapp 200.000 Services, die auf einer für Heartbleed anfälligen OpenSSL-Version basieren.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.