Mobile Sicherheitslücken stopfen

Schwachstellenscanner für Smartphones

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Sicherheitslücken bei mobilen Geräten bleiben oftmals unentdeckt. Es ist höchste Zeit für ein mobiles Vulnerability Management.

Mobile Schwachstellen bereiten Sorgen

Die Zahl der bekannten Schwachstellen bei mobilen Betriebssystemen ist zwischen 2006 und 2011 massiv angestiegen, in 2011 alleine um 19 Prozent.
Die Zahl der bekannten Schwachstellen bei mobilen Betriebssystemen ist zwischen 2006 und 2011 massiv angestiegen, in 2011 alleine um 19 Prozent.
Foto: IBM

Fast 70 Prozent der Sicherheitsexperten sehen in den Schwachstellen von Smartphones und Tablets eine deutliche Bedrohung, wie eine Befragung von Tenable Network Security auf der RSA Conference 2012 ergab. 68 Prozent der Befragten gaben zudem an, über kein Verfahren zu verfügen, um die mobilen Schwachstellen aufzuspüren. Gleichzeitig wuchs die Zahl der Sicherheitslücken in mobilen Betriebssystemen und Apps innerhalb eines Jahres um 19 Prozent, so zum Beispiel der IBM X-Force 2011 Trend and Risk Report.

Jedes zweite Android-Smartphone betroffen

Mindestens eine Schwachstelle hat jedes zweite Smartphone auf Android-Basis. Die Schätzung basiert auf einer Untersuchung von Duo Security, bei der mehr als 20.000 Android-Geräte analysiert wurden.

Eine Studie von Mobilisafe geht sogar davon aus, dass 71 Prozent aller mobilen Endgeräte massive Sicherheitslücken aufweisen und alle 1,6 Tage eine neue Schwachstelle hinzukommt.

Schwachstellen bei Tablets und Smartphones führen zum Beispiel dazu, dass mobile Anwendungen höhere Berechtigungen erlangen können, als sie eigentlich bekommen sollen, dass bestimmte Programmfehle ohne Überprüfung ausgeführt werden oder dass Speicherbereiche des mobilen Endgerätes missbraucht werden können.

Fehlerbehebungen lassen auf sich warten

Solche Schwachstellen gibt es nicht nur bei Smartphones und Tablets. Bei mobilen Endgeräten jedoch besteht eine größere Gefahr, dass sie relativ lange bestehen bleiben und sie mit größerer Wahrscheinlichkeit von Datendieben und Hackern ausgenutzt werden.

Aktualisierungen zur Fehlerbehebung bei mobilen Betriebssystemen und Apps werden bei weitem nicht so regelmäßig angeboten, wie man es zum Beispiel im PC-Bereich gewohnt ist. Manche Smartphone- oder Tablet-Nutzer bleiben Monate oder sogar dauerhaft auf den Schwachstellen sitzen, weil es zum Beispiel für ihre spezielle Android-Version kein aktuelles Update gibt. Wie vielfältig die Versionslandschaft bei Android-Geräten ist und wie viele ältere Android-Versionen gegenwärtig noch aktiv genutzt werden, zeigen die Dashboards für Android-Entwickler. Demnach nutzen mehr als 75 Prozent der Android-Nutzer noch eine Version älter als 4.0.

Kein Fall für klassische Anti-Malware

Die entdeckten Android-Schwachstellen resultieren insbesondere aus Programmierfehlern und nicht etwa aus einer Infektion mit mobilen Schadprogrammen. Deshalb sind klassische mobile Malware-Scanner ungeeignet, die riskanten Sicherheitslücken zu entdecken. Hier sind spezielle, mobile Schwachstellen-Scanner gefragt.

1. Schwachstellen-Scanner auch für mobile Geräte

Nessus prüft die Version der mobilen Betriebssysteme und stuft die mobilen Endgeräte hinsichtlich der vorhandenen Schwachstellen in Risikogruppen ein.
Nessus prüft die Version der mobilen Betriebssysteme und stuft die mobilen Endgeräte hinsichtlich der vorhandenen Schwachstellen in Risikogruppen ein.
Foto: Screenshot Präsentation Tenable Network Security

Der Schwachstellen-Scanner Nessus 5.0 von Tenable Network Security zum Beispiel kann nun auch für die Schwachstellenanalyse bei mobilen Endgeräten genutzt werden. Wählt man bei Nessus die Option "Mobile", sammelt der Schwachstellen-Manager relevante Informationen über die im Unternehmensnetzwerk bzw. Mobile Device Manager (MDM) registrierten, mobilen Endgeräte. Dabei wird unter anderem der Versionsstand des mobilen Betriebssystems erhoben.

Auch die Retina CS Vulnerability Management Console von eEye Digital Security bezieht mobile Endgeräte wie Android-Smartphones und Blackberry-Geräte in die Schwachstellen-Analyse der IT-Infrastruktur mit ein.

Die Software listet mobile Endgeräte, die ein veraltetes mobiles Betriebssystem nutzen, auf und bewertet den jeweiligen Sicherheitsstatus. Dadurch wird der Aktualisierungsbedarf bei den mobilen Endgeräten deutlich. Der Administrator kann auf Geräteebene nachvollziehen, wo welche bekannten Schwachstellen vorliegen.

Der eEye Scanner läuft lokal auf dem Smartphone und meldet dem Benutzer, welche Schwachstellen vorhanden sind und wie kritisch dies zu bewerten ist.
Der eEye Scanner läuft lokal auf dem Smartphone und meldet dem Benutzer, welche Schwachstellen vorhanden sind und wie kritisch dies zu bewerten ist.
Foto: Screenshot Google Play

Um das zu erreichen, werden eindeutige Gerätekennungen wie zum Beispiel Seriennummern in den Schwachstellen-Bericht aufgenommen. Er beschreibt die mit dem veralteten Versionsstand verbundenen Sicherheitsrisiken und gibt Empfehlungen zur Fehlerbehebung. Insbesondere weist er auf verfügbare Patches des Herstellers hin.