Entwickler programmieren schlampig 26.09.2014, 14:19 Uhr

Über 60 % der Apps für iOS haben gravierende Sicherheitsmängel

Mehr als 60 Prozent der beliebtesten Apps für Apples mobiles Betriebssystem iOS haben gravierende Sicherheitsmängel. Das haben Wissenschaftler des Fraunhofer-Instituts herausgefunden. Schuld sind App-Entwickler, die nicht sauber programmieren oder Sicherheitseinstellungen sogar bewusst deaktivieren.

Das Fraunhofer-Institut warnt vor kostenlosen Apps: Sie weisen oft Sicherheitsmängel auf sind ein Einfallstor für Hacker. Besonders gefährlich ist das für Unternehmen.

Das Fraunhofer-Institut warnt vor kostenlosen Apps: Sie weisen oft Sicherheitsmängel auf sind ein Einfallstor für Hacker. Besonders gefährlich ist das für Unternehmen.

Foto: Fraunhofer SIT

In einer Testreihe untersuchten Wissenschaftler des Fraunhofer SIT in Darmstadt 14.600 kostenlose Apps für das mobile Betriebssystem iOS darauf, ob sie sicher genug sind für den Einsatz in Unternehmen. Die meisten sind es nicht. Unter den 4600 beliebtesten Apps waren das gut 60 Prozent, bei 10.000 zufällig ausgewählten Apps sogar fast 67 Prozent.

Entwickler schalten Schutzfunktionen bewusst ab

Die Ergebnisse der Untersuchungen sind alarmierend: Bei rund einem Viertel der Apps verzichteten ihre Entwickler nach Erkenntnis der Fraunhofer Wissenschaftler absichtlich auf Schutzfunktionen, die in der Entwicklerumgebung von iOS standardmäßig vorgesehen sind. „Diese Sicherheitsmaßnahmen verkomplizieren die Programmierung schon mal, und dann wird in den Entwicklerforen empfohlen, die Maßnahme einfach zu deaktivieren“, nennt Jens Heider, Leiter des Testlabors Mobile Sicherheit am Fraunhofer SIT im Gespräch mit Ingenieur.de einen Grund für unsaubere Programmierung.

Jede fünfte App, die vorgibt Dokumente zu verschlüsseln, verwendet dafür eine unzureichende Verschlüsselungsmethode. Und bei gut jeder zehnten App, die sich zur Datenübertragung vorgeblich über eine sichere SSL-Verbindung ins Netz einwählt, wurde die SSL-Verschlüsselung gar nicht richtig eingerichtet, sodass Angreifer doch auf die Daten zugreifen und selbst Passwörter abgreifen können.

Unsichere Verschlüsselung von Dokumenten, Daten und Internetverbindungen

Ein Beispielszenario: Ein Mitarbeiter wählt sich an einem öffentlichen Hotspot mit seinem iPhone unwissentlich über eine unsichere Verbindung ins Firmennetz ein, wofür er Zugangsdaten eingeben muss. Dann ruft er pdf-Dokumente in einem Viewer auf, der das Dokument nicht ordentlich verschlüsselt. Ein Angreifer, der sich in den HotSpot gehackt hat, kann die übertragenen Daten nun nicht nur mitlesen, er kann sich mit dem abgegriffenen Passwort auch selbst ins Firmennetz einwählen und weitere Daten klauen. Bekommt ein Unbefugter darüber hinaus Zugriff auf das Mitarbeiter-Handy, zum Beispiel weil es verloren ging, findet er die unzureichend verschlüsselten Unternehmensdokumente.

Die Fraunhofer-Forscher haben 14.600 Apps für iOS unter die Lupe genommen. Die alarmierende Bilanz: Über 60 Prozent sind für Unternehmen ungeeignet, weil Programmierer Sicherheitsvorschriften nicht einhalten.

Die Fraunhofer-Forscher haben 14.600 Apps für iOS unter die Lupe genommen. Die alarmierende Bilanz: Über 60 Prozent sind für Unternehmen ungeeignet, weil Programmierer Sicherheitsvorschriften nicht einhalten.

Foto: dpa

Ein weiteres Kriterium für die Sicherheit der Apps war die Frage nach der Weitergabe von Daten zum Anwenderverhalten (Tracking). Wie sich herausstellte, schickten rund elf Prozent der getesteten Apps Daten an mehr als fünf Unternehmen, die mit der Funktion der App gar nichts zu tun haben.

Sicherheit der Apps ist für Anwender nicht ersichtlich

Die Fraunhofer Forscher führten ihre Untersuchungen mit dem Testwerkzeug Appicaptor durch, dass sie selbst entwickelt haben und das große Mengen von Apps automatisiert auf Sicherheit prüfen kann. Als Dienstleistung bietet das Fraunhofer SIT an, Apps auf Ihre Eignung für den Einsatz im Unternehmen anhand des Appicators zu überprüfen – auch im firmenspezifischen Kontext. Private Anwender, die von den festgestellten Sicherheitsmängeln ja ebenfalls betroffen sind, haben dagegen so gut wie keine Chance zu überprüfen, ob die von Ihnen verwendeten Apps sicher sind. Da müssten sie schon in die Programmierung schauen.

Heider empfiehlt Usern zum Einen darauf zu achten, dass in der Beschreibung einer App im App Store auf die Sicherheit eingegangen wird, ob also zum Beispiel erwähnt ist, das Dokumente verschlüsselt werden oder sichere Verbindungen aufgebaut werden. „Dann wissen Sie zwar immer noch nicht, ob die Sicherheitsvorkehrung auch wirklich funktioniert. Aber zumindest ist das ein Indiz, dass sich der Entwickler mit Sicherheitsfrage auseinander gesetzt hat“, so IT-Spezialist Heider.

Zum anderen sollte man grundsätzlich nicht jede App auf sein Gerät laden, die einem so unterkommt. Verzichten sollte man wenn möglich auch auf eine kostenlose Einwahl in öffentliche WLAN-Netze. „Sie können nicht prüfen, ob Dritte auf der Verbindung mitlesen“, erläutert Heider. „Zahlen Sie lieber für eine sichere Einwahl in das Netz ihres Mobilfunkanbieters.“

Top Stellenangebote

Universitätsstadt Marburg-Firmenlogo
Universitätsstadt Marburg Leiterin / Leiter für den Fachdienst Bauverwaltung und Vermessung Marburg
J. Schmalz GmbH-Firmenlogo
J. Schmalz GmbH Assistent (m/w) der Geschäftsführung Glatten
SEW Eurodrive-Firmenlogo
SEW Eurodrive Projektingenieur Automatisierung (w/m) Bruchsal
B. Braun Melsungen AG-Firmenlogo
B. Braun Melsungen AG Laboringenieur für Kunststoffeinmalartikel (m/w) Schwerpunkt Prüftechnik und Schadensanalyse Radeberg
Continental Foods Germany GmbH-Firmenlogo
Continental Foods Germany GmbH Elektroingenieur (m/w) Fachrichtung Automatisierungstechnik Lübeck
Honda R&D Europe (Deutschland) GmbH-Firmenlogo
Honda R&D Europe (Deutschland) GmbH Entwicklungsingenieur/in Elektrofahrzeuge und Smart Grids Offenbach am Main
Honda R&D Europe (Deutschland) GmbH-Firmenlogo
Honda R&D Europe (Deutschland) GmbH Entwicklungsingenieur/in Emissions- und Umwelttechnologien Offenbach am Main
Belimed GmbH-Firmenlogo
Belimed GmbH Elektroingenieur (m/w) Mühldorf am Inn
Jungheinrich Landsberg AG & Co. KG-Firmenlogo
Jungheinrich Landsberg AG & Co. KG Ingenieur (m/w) als Produktionsleiter Elektro-Niederhubwagen Landsberg
Stadt Esslingen am Neckar-Firmenlogo
Stadt Esslingen am Neckar Kanalmeister / Kanalmeisterin / Abwassermeister / Abwassermeisterin Esslingen