Weiterhin Lücke in MobileIron Web@Work 1.5.1

Airwatch und MobileIron beheben Datenleck in iOS-Container (teilweise)

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Vier Monate (!) nach der Entdeckung und Bekanntgabe einer Schwachstelle in iOS-Containern von Airwatch und MobileIron wurden die Sicherheitslücken nun mit Docs@Work 1.2.0 und Secure Content Locker 2.4 geschlossen. Die Lücke in MobileIron Web@Work 1.5.1 besteht aber weiterhin.
Business-Contaner sollen auf mobilen Endgeräten geschäftskritische Daten vor neugierigen Blicken schützen.
Business-Contaner sollen auf mobilen Endgeräten geschäftskritische Daten vor neugierigen Blicken schützen.
Foto: Evren Kalinbacak - Fotolia.com

Die COMPUTERWOCHE hatte unlängst berichtet, dass die iOS-Container von Airwatch und MobileIron ein potenzielles Datenleck aufweisen. Wie Enterprise Mobility Architect (iTlab) und COMPUTERWOCHE-Autor Peter Meuser bereits Ende Oktober 2014 im Praxistest mit iOS 8.1.2 feststellte, sind AirWatch Secure Content Locker 2.3.4 und MobileIron Docs@Work 1.1.1.4 nicht in der Lage, einen externen Dokumententransfer über "Share" und "Action" Extension Apps zu kontrollieren. Mit dem in iOS 8 eingeführten Feature "App Extensions" lassen sich somit entgegen der administrativen Vorgabe Firmendokumente aus einem vermeintlich geschlossenen Container-Verbund mit Apps wie Evernote, Transmit von Panic Inc, OneNote von Microsoft und Workflow von DeskConnect vom Benutzer unbeschwert und von der IT unkontrolliert auf Cloud-Dienste übertragen. Auch beim PIM-Container Divide 2.1.4. für MobileIron AppConnect lässt sich diese Lücke beobachten.

Obwohl die beiden Hersteller bereits Anfang November von Meuser auf die eklatante Lücke in ihrer "Data Leak Prevention" aufmerksam gemacht und ihnen die potenzielle Sicherheitslücke per Video vorgeführt wurde wurden, passierte lange Zeit nichts. Erst nach einem entsprechenden Artikel für die COMPUTERWOCHE schien Airwatch das Problem ernst zu nehmen. Nachdem man sich intensiv mit dem beschriebenen Sachverhalt auseinandergesetzt hat, so das Unternehmen Ende Januar 2015 in einer offiziellen Stellungnahme, komme man zu dem Schluss, dass "es keine Möglichkeit gebe, das Teilen (von Daten) über spezifische App Extensions zu kontrollieren". Als Konsequenz kündigte Airwatch nun an, die Funktion App Extensions im nächsten Release (die nun erschienene Version Airwatch 8) für alle Airwatch-Anwendungen komplett zu deaktivieren. Erst wenn es die Möglichkeit gebe, das Sharing via App Extensions auf App-Ebene zu kontrollieren, werde man diese Funktion den Kunden bereitstellen, so die VMware-Tochter.

MobileIron schließt Lücken nur teilweise

Im Gegensatz dazu zeigte sich Wettbewerber MobileIron, in dessen Container-App Docs@Work Meuser ebenfalls ein Datenleck feststellte, noch bis vor kurzem uneinsichtig. "MobileIron legt Wert darauf zu betonen, dass sich das EMM-System so konfigurieren lässt, dass das behauptete Datenleck nicht auftritt", so noch Ende Januar die Auskunft des Herstellers. Inzwischen ist das Unternehmen jedoch zur Einsicht gekommen, dass auch der von ihm empfohlene Workaround, Docs@Work als Managed App zu installieren und in den Einstellungen von iOS via "Managed Open in" die Weitergabe von Dokumenten aus verwalteten zu nicht verwalteten Apps zu verbieten, nicht hilft. Die Kalifornier veröffentlichten am 26. Februar die App Docs@Work 1.2 im iTunes AppStore, in der das beschriebene Problem mit dem unauthorisierten Zugang aus iOS8 App Extensions behoben sein soll. Der Fix, so Ojas Rege, Chefstratege bei MobileIron: Als nicht verwaltete App erlaubt es Docs@Work 1.2 App Extensions keinen Zugang zu Dokumenten im Container.

Wie Mobility-Spezialist Meuser nun bei Tests feststellte,wurde damit aber nur ein Loch geflickt. Beim Browser Web@Work, der den sicheren Web-Zugang zu internen Websites und Web-Anwendungen vom MobileIron-Container aus ermöglichen soll, besteht das Problem nach wie vor.

Interessant ist in diesem Zusammenhang, dass bereits andere Anbieter gezeigt haben, wie man das Risiko durch die potenzielle Sicherheitslücke App Extensions entschärfen kann. Bei den ebenfalls von Meuser getesteten Container-Lösungen von Good Technology (Good for Enterprise/Good Dynamics), Citrix XenMobile 10 / Worx Apps und Blackberry (Secure Work Space for iOS) unter BES12 (basiert auf OpenPeak Sector), konnte der Enterprise-Mobility-Spezialist diese Lücke nicht beobachten.

Qualitätskontrolle tut Not

Aufgabe von Container-Lösungen ist es, auf einem möglicherweise ungemanagten Mobile Device einen gesicherten und zentral durch die Firmen-IT verwalteten Verbund an Business-Apps zu schaffen, die untereinander Daten austauschen können. Die Apps stammen dabei häufig von unabhängigen Entwicklern, die ihre Anwendung über ein bereitgestelltes Enterprise-SDK der EMM-Lösung integrieren und über den iTunes App Store bereitstellen. Weil die EMM-Anbieter darum bemüht sind, möglichst viele Anwendungen für ihre Container-Lösung vorweisen zu können, scheint die Qualitätskontrolle dabei hin und wieder unter den Tisch zu fallen.