20. Januar 2016

Mobile-Applikationen: Sicherer als gedacht

Mobile-Applikationen: Sicherer als gedacht <br/>

Mobile-Applikationen haftet immer noch der Ruf an, weniger sicher zu sein als ihre webbasierten Gegenstücke. In der Realität verhält es sich jedoch genau umgekehrt. Mobile-Applikationen sind aufgrund moderner Sicherheitskonzepte mobiler Betriebssysteme bedeutend sicherer als jeder PC oder jedes Notebook. Dies selbst dann, wenn manche Sicherheitsvorkehrungen vom Benutzer durch so genanntes Jailbreaking bzw. Rooting der Geräte aktiv unterwandert worden sind.

Jailbreaking und Rooting sind zwei Begriffe, die im Grunde das Gleiche bedeuten, sich aber auf unterschiedliche Betriebssysteme beziehen: Jailbreaking wird mit iPhones und weiteren mobilen Apple Geräten in Verbindung gebracht, Rooting mit Android-Geräten. Es sind Verfahren, welche zum Ziel haben mobile OS Schutzmechanismen zu umgehen beziehungsweise auszuhebeln. Dazu gehören die "Freischaltung" von Funktionen wie dem Lesen von SMS aus Fremdprogrammen, dem Mitschreiben von Tastatureingaben und nicht zuletzt auch die Ausführung von Fremdprogrammen.

Anleitungen für Jailbreaks oder Rooting sind im Internet zu finden und erfreuen sich gerade bei jüngeren Benutzern, welche sich nicht der Diktatur der Betriebssystemhersteller unterwerfen wollen, grosser Beliebtheit. 

Nun gibt es natürlich auch Verfahren, welche versuchen jailbroken oder gerootete Geräte zu erkennen. Unsinnigerweise werden diese auch immer noch von Sicherheitsfirmen in Security Audits empfohlen. Nur, was soll geschehen, wenn entsprechende Modifikationen erkannt worden sind? Soll man dem Benutzer die Verwendung des Gerätes unterbinden oder seine Services einschränken und ihn letztlich als Kunden verlieren?

Erkennung modifizierter Geräte ist schwierig

An dieser Stelle muss betont werden, dass die zuverlässige Erkennung modifizierter Geräte keine einfache Aufgabe ist. Jailbreak- und Rooting-Programme werden von äusserst erfahrenen Mobile-Sicherheitsspezialisten mittels tiefgreifender Analysen potentieller Schwachstellen entwickelt. Ähnlich qualifizierte „Experten“ mit kriminellem Hintergrund hätten daher kaum Schwierigkeiten, die Existenz ihres Schadcodes vor den relativ einfachen Prüfprogrammen zu verbergen. Für komplexere Prüfungen reichen die Befugnisse innerhalb der gegebenen Mobile OS Schutzmechanismen nicht aus. Um dies zu umgehen, müssten beim Benutzer weitreichende System-Berechtigungen eingefordert werden, welche die Applikation – für ihre eigentliche Funktion – gar nicht benötigt.

Sicherheitsbewusste Benutzer würden ein solches Vorgehen schnell durchschauen und ihre Zustimmung für die benötigten Funktionen untersagen.

Was am Ende des Tages bleibt, ist die Erkenntnis, dass die von manchen Benutzern mit etlichem Aufwand umgangenen Schutzmechanismen auf den aktuellen Desktop-Betriebssystemen nicht einmal im Ansatz existieren. Nur hat man sich hier bereits an diesen Umstand gewöhnt und versucht, mit Virenscannern und anderen "post mortem" Tools der Lage Herr zu werden. Wie die Praxis zeigt, liegt die eigentliche Schwachstelle von Web Lösungen aber beim Browser bzw. den durch Plug-Ins wie Adobe Flash, Silverlight oder Java neu hinzugefügten Funktionen. Nicht zuletzt auch deshalb, weil sie ausserhalb des Einflussbereichs von Virenscannern und Co. arbeiten.

Bei mobilen Geräten sieht die Situation auch hier wieder fundamental anders aus. Applikationen werden nur äusserst selten als reine Browser-Applikationen implementiert und falls doch, bieten mobile Browser in der Regel keine Möglichkeit Plugins zu installieren. Somit fehlen auch hier die Voraussetzungen für analoge Angriffsszenarien.

Weshalb werden Mobile-Applikationen trotzdem immer noch als unsicherer bewertet? Wie sonst sind Funktionen wie Freigabe einer mobil erfassten Zahlung zu werten?

Authentisierungsverfahren für Mobile-Anwendungen fehlen

Zurückzuführen ist dies letztendlich auf das Fehlen geeignet starker Authentisierungsverfahren für Mobile-Anwendungen. Noch immer richten sich die Verfahren an klassischen Desktop WEB Browser-Lösungen aus, welche für den mobilen Einsatz schlicht untauglich sind. Aber welcher Benutzer trägt neben dem Smartphone noch weitere Geräte mit sich herum, einzig um sich bei seiner Mobile-Applikation anzumelden? Auch das beliebte, jedoch sicherheitstechnisch überholte Zusenden eines Einmalpassworts auf das Mobiltelefon, genannt smsTAN, scheitert, da die Grundvoraussetzungen eines zweiten, unabhängigen Gerätes nicht mehr gegeben ist. Was bleibt sind typischerweise schwache Authentisierungsverfahren über Passwörter.

Dabei gäbe es sehr viel elegantere Verfahren, welche mit Zertifikaten oder Schlüsseln arbeiten, die wiederum über ein Passwort oder einen PIN verschlüsselt auf dem mobilen Gerät hinterlegt sind. Damit erfüllen diese Verfahren die Kriterien einer starken Zwei-Faktor-Authentisierung über die Faktoren Besitz (das Zertifikat) und Wissen (das Passwort bzw. der PIN).

Abschliessend kann gesagt werden: Mobile-Applikationen sind – geeignete Authentisierungsverfahren vorausgesetzt – selbst dann noch sicherer als Desktop-Anwendungen, wenn der Benutzer bereits alles getan hat, um die Schutzmechanismen per Jailbreak oder Rooting zu umgehen. Schade nur, dass die Dienstleistungsanbieter viele Mobile-Angebote noch nicht anbieten wollen.

Übrigens, gemäss den uns vorliegenden Informationen ist die tatsächliche Zahl der erkannten Angriffe – sofern es diese überhaupt gibt – auf den Mobile-Applikationen Schweizer Finanzdienstleister verschwindend gering. Insbesondere, wenn man den Vergleich zu entsprechenden Browserbasierten Lösungen zieht. Ob dies einzig und allein auf das geringe Serviceangebot zurückzuführen ist, bleibt dahingestellt.


Harald Böttcher
Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal und verantwortet den Fokusbereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolvierte er an der Hochschule für Technik in Zürich.

Ähnliche Artikel

HackZurich: This Is How 565 Techies Spent the Weekend
HackZurich: This Is How 565 Techies Spent the Weekend

565 registered participants, 152 submitted projects and 20280 hours of coding – the occasion was of course Hack Zurich, Europe’s biggest hackathon and one of the most anticipated events for ambitious hackers. The rainy weekend was the perfect opportunity for hackers from all over the world to get together in the Technopark and develop innovative solutions and new apps for the sponsor’s challenges. The goal: develop an amazing prototype and maybe, even disrupt a whole industry.

Mehr erfahren
Evolutionary 750x410
Evolutionary and Disruptive All at Once

There has been a fundamental shift in customer values in the insurance sector, studies and experts tell us. This is being driven by technology. As time goes on, customer opinions will no longer be solely based on brand loyalty and confidence in advisors, but increasingly on digital social networking and self-service.

Mehr erfahren
Lazy Angular: Writing Scalable AngularJS Apps
Lazy Angular: Writing Scalable AngularJS Apps

There are two major issues I have faced in the past few years, when writing AngularJS applications, and I have seen numerous other teams fighting the same battles. Out of these experiences the “Lazy Angular” approach came to life. It gives us a project structure which works for both, large and small applications. And it enables us to keep a somewhat consistent load time as new features come to life and our app grows.

Mehr erfahren
Impressionen von der App Builders Switzerland
Impressionen von der ersten App Builders Konferenz der Schweiz

Die Schweiz hat mit der App Builders Konferenz einmal mehr bewiesen, dass sie ein iOS-Land ist. In diesem Artikel geht es um die Impressionen der „App Builders Switzerland 2016“, der ersten Schweizer Konferenz von Entwicklern für Entwickler in Europa.

Mehr erfahren
SAM 750x410
Meet SAM, the Secure Artificial Intelligent Messenger

Back in November, we told you about the very first ti&m code camp, where our employees were tasked with finding innovative solutions to several technical challenges. In today’s interview, we have decided to speak with the winning team about “SAM”, their artificial intelligence application, and find out more about how the solution was built, how accurate it is and what their plans for the future are.

Mehr erfahren
Data isn’t valuable. Information is!<br/>
Data isn’t valuable. Information is!

Banks spend a vast amount of time researching and collecting data about clients, but often lack the bigger picture of connecting these separate data piles from various systems. Data alone is worthless, but connected and turned into information using an identity database, new possibilities such as reducing the cost per client, increasing quality of service and anticipating a client's actions are possible.

Mehr erfahren