App Wrapping- Konzept mit Zukunft oder falsche Fährte?
26.08.2015 von Mark Zimmermann und Christopher Dreher
Parallel zur immer stärkeren Mobilisierung von Geschäftsprozessen entwickelt sich auch eine immer größere Notwendigkeit, nicht mehr alle Anwendungen selbst zu entwickeln, sondern Drittsoftware einzusetzen. Dabei müssen diese den internen Sicherheitsanforderungen genügen. Viele Unternehmen versuchen das Gerät (MDM) oder zumindest die darauf installierten Apps (MAM) zu verwalten.
Wie in Teil 1 beschrieben greifen viele Firmen gerne auf Lösungsanbieter mit "Wrapping" Ansätzen zurück. In diesem Teil möchten wir Ihnen weitere Argumente an die Hand geben um die technische Umsetzung von Wrapping bewerten zu können.
Wie funktioniert Wrapping wirklich ?
In einem Unternehmen erlaubt das App Wrapping einem Administrator, einer App zusätzliche Sicherheits- und Management-Funktionen (MAM) beizubringen. Danach hat er die Möglichkeit, die App als einzelnes, in einen Container verpacktes Programm via Enterprise App Store auszurollen. Es ist wichtig zu verstehen, dass Wrapping genutzt werden kann um das Management einer App zu ermöglichen. Es ist aber nicht so, das jede App gewrappt sein muss damit MAM funktioniert. Das Wrapping kann aber in jedem Fall als eine Möglichkeit dargestellt werden, die prinzipiell allen Apps im Nachhinein zu zusätzlichen Funktionen verhelfen kann, die vom Entwickler nicht bedacht wurden. Das MAM oder die Implementierung von Sicherheitsfeatures sind nur einige davon.
Bei einem Einkauf von Apps in alternativen App Stores ist Vorsicht geboten. Foto: Maksym Yemelyanov - Fotolia.com
Am Beispiel von iOS möchten wir Ihnen das Konzept hinter Wrapping erklären. Diese Erklärung ist auf andere Plattformen adaptierbar.
Die Apps in der iOS Welt sind Großteils in Obejctive-C oder in SWIFT geschrieben und Android-Apps vorwiegend in Java. Objective-C ist eine objektorientierte Erweiterung der klassischen Programmiersprache C, die jedoch im Gegensatz zu C oder C++ keine gewöhnlichen Funktionsaufrufe nutzt. Viel mehr werden Methoden über so genannte Nachrichten aufgerufen. Ein Methodenaufruf unter Objective-C erfolgt dabei immer über die gleiche Anweisung ( [Empfänger Nachricht] ). Die Nachricht enthält sowohl den Bezeichner für die aufzurufende Methode als auch die zugehörigen Übergabe-Parameter.
Als Vermittlungszentrale dieser Nachrichten nutzt Objective-C die von iOS bereitgestellte objc_msgSend-Methode. Da alle Funktionsaufrufe zentral über diese objc_msgSend-Methode geleitet werden, ist es offensichtlich, dass es ebenso einen zentralen Weg gibt, um die aufgerufenen Funktionen zu beeinflussen.
Beim Wrapping wird durch das so genannte Method Swizzling, auf das Ausführen von alternativem Code, ohne dass der originale Quellcode der App verfügbar ist oder verändert wird, gesetzt.
Wie sicher ist das Wrapping?
Ändern sich die Methodenaufrufe, ändern sich auch die Anforderungen an die Wrapping Routinen. Um am Beispiel von iOS zu bleiben: hat Ihr Wrapping Anbieter den Datenabfluss erfolgreich unterbunden , war mit AirDrop auch mehrere Monate eine neue Funktion mit diesem Risiko trotzdem möglich. Auch wenn die alten Routinen von den früheren Abflussszenarien noch geschützt haben, wurde das Schutzschild löchrig aufgrund neuer Routinen in neuen iOS Versionen.
Kompatibilitäten mit dem Betriebssystem sind zusätzlich eine Herausforderung. Auch hier dient iOS als ein perfektes Beispiel. Im Jahr 2014 hat Apple die alternative Programmiersprache Swift vorgestellt.
10 coole Smartphone-Apps, die kaum einer kennt
AirPlay/DNLA Receiver Lite <br> <p><b>Hersteller</b>: WaxRain Tech<p> <p><b>Preis</b>: kostenlos<p>
Mobile Alarmanlage <br> <p><b>Hersteller</b>: Focusware<p> <p><b>Preis</b>:0,99 Euro (Lite-Version ist kostenlos)<p>
Schöner Fernsehen <br> <p><b>Hersteller</b>: Internet TV AG<p> <p><b>Preis</b>: kostenlos<p>
DU Speed Booster <br> <p><b>Hersteller</b>: DU Apps<p> <p><b>Preis</b>: kostenlos<p>
Bei der Aufrufsemantik von Swift geht die Möglichkeit verloren, dynamische Manipulationen zur Laufzeit, wie es mit Objective-C Apps möglich ist, durchzuführen. Dies bedeutet, dass sich Methoden in Swift nicht per "Method Swizzling" überschreiben lassen. Ein gezieltes modifizieren des Programmablaufs wird durch die Funktionsweise von Swift erheblich aufwändiger, da keine generischen Hooking-Methoden mehr angewendet werden können.
Spätestens mit Überführung von Standard-iOS Bibliotheken in die Swift-Welt, werden klassische Betriebssystemfunktionen damit nicht mehr von Anbietern mit heutigen Lösungen, wrappbar sein. Mit iOS9 ist dies zwar noch nicht direkt der Fall, aber es ist eine Frage der - kurzfristig absehbaren- Zeit.
Transferieren und Deaktvieren von Wrapping
Die auf den ersten Blick gewonnene Sicherheit ist jedoch oft trügerisch. Um die am Anfang erwähnten Manipulationen des Wrapping-Prozesses durchzuführen, müssen entsprechende Bibliotheken per Code Injection in die zu schützende App überführt werden. Was sich wie ein komplizierter Prozess anhört, stellt für den versierten Angreifer eine einfache Vorgehensweise dar, egal auf welcher Zielplattform.
Um in diesem Artikel konsistent zu bleiben, greifen wir wieder das Beispiel iOS auf. In dem so genannten Header einer App sind allgemeine Informationen der App enthalten. Hier existiert auch der so genannte "Load commands" Bereich. Dort fügen die meisten Wrapping Anbieter ihre Bibliotheken ein. Hierzu wird die Struktur "struct dylib_command" mit der Konstante LC_LOAD_DYLIB verwendet. Dies wird durchgeführt, um die Wrapping Bibliotheken bei jedem Start einer App zu verwenden und das Method Swizzling anzuwenden.
Bei der Konstanten LC_LOAD_DYLIB, die dem Hex-Wert: 0xC entspricht, ist die verwiesene Bibliothek zwingend beim App-Start erforderlich. Alternativ dazu gibt es die Konstante LC_LOAD_WEAK_DYLIB, die dem Hex-Wert 0x18 entspricht, bei der diese Bibliothek nur optional vorhanden sein muss. Mit einem Hexeditor, zum Beispiel Hexfiend, lässt sich durch eben diesen Hex-Wert der Eintrag von LOAD_DYLIB in WEAK_DYLIB ändern. Die Ändern dieses Bytes und das Entfernen der Bibliothek (.dylib) kann das Wrapping, bei Lösungsanbietern dieser Art, auf einem gekailbreakten iPad oder iPhone, deaktivieren.
Wie kann ein exemplarisches Angriffsszenario aussehen?
Durch einen Jailbreak sind die restriktiven Sicherheitsmaßnahmen der iOS Plattform außer Kraft gesetzt. Dies bedeutet konkret, dass Apps nun unter Root Berechtigungen laufen können und, dass durch die Deaktivierung der Signaturprüfung auch Apps aus fremden, nicht vertrauenswürdigen App Stores installiert werden können. Eine bösartige App ist also selbstständig durch die Root Berechtigungen in der Lage, die oben beschriebene Manipulation der Load Anweisung an der geschützten App durchzuführen. Die ausgehebelte Signaturprüfung sorgt gleichzeitig dafür, dass die fehlerhafte Integrität der manipulierten App nicht durch das iOS Betriebssystem bemerkt wird. Et voilà der Angriff ist vollzogen.
Die beliebtesten Android-Apps im Google-Play-Store
Platz 9: Firefox Den bekannten Internetbrowser Firefox von Mozilla gibt es neben der Desktopvariante auch als App für Android-basierte Mobilgeräte. Dieser besitzt viele der Funktionen des großen Bruders. So lässt sich zum Beispiel das Tab-Browsing nutzen. Auch die Funktionen Chronik und Lesezeichen stehen dem Anwender zur Verfügung genauso wie das Verwalten von Passwörtern des Browsers. Zusätzlich kann der User seine Privatsphäre durch verschiedene Sicherheitseinstellungen individuell bestimmen, unübersichtliche Internetseiten automatisch in lesefreundliche Seiten umwandeln und den Browser durch Add-ons erweitern.
Platz 8: AVG AntiVirus Free Die AVG AntiVirus App in der Free-Version schütz das Smartphone und Tablet in Echtzeit vor Virusattacken. Darüber hinaus bekämpft es Malware sowie Spyware und verhindert, dass schädliche Textnachrichten das mobile Gerät kompromittieren könnten. Auch das Aufbewahren von persönlichen Daten wird von der App unterstützt. Ein besonders Feature ist die Anruf- und Nachrichtenblockierung. Damit kann sich der Anwender vor Spam, Scam und Hacker-Angriffen schützen. So warnt zum Beispiel die Anruf- und Nachrichtenblockierung den User nicht nur vor verdächtigen Textnachrichten sondern ermöglicht auch durch Setzen von Filtern das Blockieren unerwünschter Anrufe und Nachrichten. Darüber hinaus bietet eine Widget-Funktion, dass der Nutzer auf die wichtigsten Optionen der Security-App direkt vom Startbildschirm zugreifen kann.
Platz 7: Instagram Die kostenlose Android-App Instagram ermöglicht, komfortabel Fotos aufzunehmen und diese über die sozialen Kontakte des Anwenders zu verteilen. Dazu bietet die Software zahlreiche Filtereffekte oder verwende Tilt und Shift, um die Smartphone-Fotos ins rechte Licht zu rücken. So lassen sich zum Beispiel wichtige Momentaufnahmen aus dem Berufsleben mit den Kollegen teilen. Dazu können die Fotos direkt auf die sozialen Netzwerkangebote wie Facebook, Twitter, Flickr, Tumblr und Foursquare weitergeleitet werden. Laut Hersteller stehen dem Anwender stehen Uploads in unbegrenzter Menge zur Verfügung.
Platz 6: Adobe Reader Sehr viele Dokumente werden im PDF-Format verteilt. Dementsprechend fällt ein schlechter PDF-Reader auf dem Smartphone ins Gewicht. Der Adobe Reader für Android gehört zu den besseren Leseprogrammen - insbesondere was die Bedienung angeht. Überfrachtete Menüs gibt es nicht, gesteuert wird über bekannte Android-Gesten. Dateien werden direkt vom Smartphone-Speicher oder E-Mails geladen. Verschiedene Einstellungsmöglichkeiten was die Darstellungsqualität auf dem Smartphone angeht sollen helfen, auch lange PDF-Dokumente gut lesen zu können.
Platz 5: Viber - Free Messages & Calls Über die Gratis-App Viber Free Messages & Calls für Android-basierende Smartphone und Tablets lassen sich kostenlos SMS verschicken sowie Telefonate führen. Auch der Versand von Fotos und das Führen von Videogesprächen sind kostenfrei möglich. Allerdings wird vorausgesetzt, dass das mobile Gerät eine 3G- beziehungsweise WLAN-Verbindung ins Internet besitzt und die Gegenstelle ebenfalls die Viber-App auf seinem Gerät installiert hat. Viber nutzt dabei die Rufnummer des Smartphone oder Tablets als ID-Nummer. Die App synchronisiert sich mit der Kontakteliste des mobilen Gerätes und erkennt automatisch die Kontakte, die ebenfalls Viber zur Kommunikation nutzen.
Platz 4: Facebook Messenger Der Facebook Messenger ermöglicht es, jederzeit mit seinen Freunden per Smartphones, Handys oder auf dem Computer n Kontakt zu treten. Über ein Chatsymbole werden die Nachrichten und SMS immer im Vordergrund gehalten, um jederzeit darauf zugreifen zu können. Der Clou: Der User kann mit seinen Kontakten chatten und gleichzeitig seine Hauptanwendungen bedienen beziehungsweise nutzen.
Platz 3: Skype Der populäre VoIP und Instant-Messenging-Dienst Skype findet nun mit einer eigenen App den Weg in den Android Market. Das Programm bietet alle Möglichkeiten des Dienstes an, wozu hauptsächlich die VoIP-Telefonie über WLAN und 3G zählen, genauso wie der integrierte Instant Messenger. Zusätzlich lassen sich auch Videogespräche führen. Auch eine direkte Anrufe und SMS an Handys oder Festnetztelefone sind möglich.
Platz 2: Facebook Mit der Facebook App für Android ist der Anwender in der Lage, das eigen Profil und die Kontakte bequem über das Smartphone zu verwalten inklusive Statusupdates der Freunde. Zusätzlich lassen sich Nachrichten samt Fotos direkt mit den Freunden austauschen. Auch die Verwaltung von Gruppen und Veranstaltungen ist kein Problem. Eine einfach zu bedienende Suchfunktion vereinfacht das Auffinden von Personen. Über 3G/4G oder WLAN kann der User auch seine Facebook-Freunde per integrierter Internet-Telefonierfunktion direkt kontaktieren oder ihnen sogennate Sticker zukommen lassen.
Platz 1: WhatsApp Messenger Der WhatsApp Messenger ist ein Messaging-Programm nicht nur für Android-basierende Smartphones oder Tablets. Mit der App kann der Anwender kostenfrei Nachrichten, Bilder, Videos und Sprachnotizen verschicken. Allerdings muss der Empfänger der Nachricht ebenfalls die WhatsApp-Software auf seinem System besitzen. Der WhatsApp Messenger nutzt dabei eine Internetverbindung, sodass keine Kosten für den Nachrichtenversand entstehen. Die App ist auch für iPhone- und BlackBerry-Plattformen verfügbar.
Blick über den Tellerrand
Ein kurzer Blick auf Android sollte der Vollständigkeit halber doch noch gewährt werden. Im Android Umfeld fällt auf, dass es viele Anbieter gibt, die ihre Sicherheitsbibliotheken im Zuge des Wrapping Prozesses einfach in der Main-Funktion der Android App im Java-Quellcode einbinden. Hier verhält es sich sehr ähnlich wie in der iOS Welt - wir hatten bereits die Ähnlichkeit der Verfahren erwähnt. Wird das Laden dieser Bibliothek im Java-Quellcode entfernt, so sind sämtliche Sicherheitsfunktionen auf einmal ausgehebelt.
Damit eine bösartige App diese Manipulation an der angegriffenen App durchführen kann, sind auch unter Android Root-Berechtigungen nötig. Das mobile Endgerät muss also gerooted sein.
Eine kleine Besonderheit gibt es jedoch schon in der Android Welt. Die Apps müssen nicht zwangsläufig über den offiziellen Google Playstore installiert werden und eine restriktive Signaturprüfung verglichen mit iOS ist ebenso nicht vorhanden. Ein Angreifer könnte also zum Beispiel eine manipulierte, ungewrappte App in einem der alternativen App Stores anbieten. Warum sollten nun die Opfer diese App laden und nicht jene aus dem offiziellen Playstore? Die Unwissenheit der Anwender ist immer noch ein riesiges Problem, da oftmals nicht bekannt ist, dass diese alternativen Appstores mit äußerster Vorsichtig zu genießen sind. Ein weiterer fast noch wichtigerer Faktor ist monetärer Natur. Falls die offizielle, geschützte App auch noch Geld kostet, kann der Angreifer seine manipulierte Version billiger oder gar umsonst anbieten. Gemäß dem Motto geiz ist geil, wird es nicht lange dauern, bis arglistige Opfer die manipulierte App-Version auf dem Gerät installiert haben.
Empfehlenswerte Augmented Reality Apps für das iPhone
Wind Seeker Wind Seeker blendet per Augmented Reality die Windbewegungen mit Hilfe von Pfeilen in der iPhone-Kamera ein. Zusätzlich erhalten Sie Informationen zu Geschwindigkeit, Temperatur, Luftfeuchtigkeit und Himmelsrichtung sowie die Wetterstation von der die Daten stammen. <br><br> Preis: 3,99 Euro
Junaio Aktuell Events, Sehenswürdigkeiten, Restaurants, Bars, Haltestellen oder Verkehrsmittel zeigt Ihnen der AR-Browser Junaio an und gibt Ihnen dazu noch Informationen wie Entfernung und etwaige Wiki-Artikel mit. Außerdem stehen Ihnen Inhalte bekannter Apps wie ebay Kleinanzeigen, Kino.de, kaufDa, Instagram oder Twitter zur Verfügung. Dank LLA-Markern, die über das Telefonnetz den genauen Standort ermitteln, kann die App Gebäude besonders genau orten. <br><br> Preis: kostenlos
iOnRoad Die Sicherheits-App iOnRoad hilft Ihnen, über die Kamera und Sensoren Ihres iPhones, Fahrzeuge zu erkennen und Sie bei Gefahr zu warnen. Der virtuelle Radar verfolgt dabei in Echtzeit Objekte vor Ihnen und berechnet die aktuelle Geschwindigkeit des Fahrers. Sollte das Fahrzeug abrupt bremsen warnt die App über ein Geräusch und vermeidet so einen Auffahrunfall. Daneben stellt die App noch weitere Zusatzfunktionen wie eine Vorlesefunktion von Nachrichten oder die Parkplatzortung per GPS. <br><br> Preis: 0,99 Euro
Hidden Sky Die Augmented Reality App Hidden Sky zeigt in Echtzeit über tausend Satelliten, Planeten und andere Objekte im Weltraum an. Durch die Kamera zeigt Ihnen die App die Flugbahnen und den derzeitigen Standort sowie weitere Informationen zu den Flugobjekten an. Zusätzlich lässt sich sogar der Orbit der ISS anzeigen. Neben dem AR-Modus gibt es noch einen Kartenmodus. Da die Umlaufbahnen oft korrigiert werden, sollten Sie die App regelmäßig aktualisieren. <br><br> Preis: 4,99 Euro
Flightradar24 Free Mit Flightradar24 erhalten Sie Echtzeit-Informationen wie Fluglinie, Flugkennzeichnung, Höhe, Geschwindigkeit, Abflug- und Zielflughafen und Route zu sämtlichen Linienflügen. Highlight ist hier die Augmented Reality Funktionen. Hierfür halten Sie die Kamera ihres iPhones in den Himmel und zusehen wohin das Flugzeug über Ihnen fliegen wird. Über einen Tipp auf das Flugzeug erhalten Sie weitere Informationen. <br><br> Preis: kostenlos
Finden Sie Ihr Auto mit Augmented Reality Mit dem Augmented Car Finder können Sie Ihr Auto immer und überall wiederfinden. Hierfür starten Sie die App, markieren Ihr Auto per GPS und wählen zwischen zwei Genauigkeitslevel (normal und hoch). Die App zeigt dann immer auf die richtige Himmelsrichtung und mit Angabe der Entfernung zu Ihrem Auto, sogar wenn Sie es in einem großen Parkhaus abstellen. Die App hat eine Genauigkeit bis auf circa fünf Meter. <br><br> Preis: kostenlos
Auto Bild Augmented Reality Die speziell für das Magazin Auto Bild entwickelte Augmented-Reality-App lässt die Seiten zum Leben erwecken. Hierfür aktivieren Sie die Scan-Funktion in der App und halten es über eine Seite. Daraufhin erscheint ein Button, der Ihnen Videos, Motorengeräusche, Hörbücher, 3D-Modelle oder weitere Bilder zur Verfügung stellt. Zudem können Sie über die App interaktive Elemente wie Gewinnspiele oder Terminerinnerungen nutzen. <br><br> Preis: kostenlos
AR Puzzle Sollten Sie ein Puzzle von Ravensburger aus der Serie „Augmented Reality“ zu Hause haben, puzzeln Sie sofort los und laden Sie sich die dazugehörige und kostenlose App AR Puzzle auf ihr iPhone. Öffnen Sie die App und halten Sie ihr Smartphone über das fertige Puzzle. Neben interaktiven und animierten Objekten werden auch akustische Informationen eingespielt und erwecken Ihr Puzzle zum Leben. <br><br> Preis: kostenlos
Wikitude Die kostenlose Augmented-Reality-App Wikitude zeigt Ihnen Sehenswürdigkeiten, Restaurants, Unterkünfte, Events und Geldautomaten in der Nähe an. Neben der Entfernung zeigt die App auch Öffnungszeiten und Kontaktdaten sowie Bewertungen von anderen Usern an. Sie können dabei zwischen den drei Ansichten Karte, Liste oder Kamera wählen. Für die Nutzung von Wikitude benötigen Sie eine stabile Internetverbindung. <br><br> Preis: kostenlos
Golfscape GPS Rangefinder Der Golfscape Rangefinder zeigt Ihnen dank GPS den Standort auf dem Golfplatz an. Sie können den gewünschten Landeplatz des Balles angeben, woraufhin die App den besten Weg zum Ziel berechnet. Insgesamt sind über 40.000 Golfplätze weltweit in der Anwendung hinterlegt. <br><br> Preis: 9,99
SnapShop Mit SnapShop macht das Einrichten der neuen Wohnung noch mehr Spaß, denn hierfür müssen Sie keine Möbel mehr hin und her schieben. Hierfür wählen Sie ein beliebiges Möbelstück aus. Gleichzeitig aktiviert sich die Kamera Ihres Smartphones und platziert z.B. das Sofa in Ihr Wohnzimmer. Sie können neben der Größe auch Farbe und Muster verändern und es beliebig drehen. Wenn das Möbelstück aus der App perfekt in Ihre Wohnung passt, können Sie es auch direkt bestellen. <br><br> Preis: kostenlos
Star Chart Wer beim Sterne gucken schon immer wissen wollte, welchen Stern er gerade anschaut, sollte sich die App Star Chart auf sein iPhone laden. Hierfür halten Sie Ihr Gerät Richtung Himmel und tippen den gewünschten Stern an. Die App zeigt Ihnen daraufhin den Namen, die Entfernung und die Helligkeit des Sterns an. <br><br> Preis: kostenlos
SkyView Satellitenortung Mit der App SkyView spüren Sie ganz einfach und schnell über 20.000 Satelliten auf. Hierfür halten Sie Ihr Handy Richtung Himmel und können die Internationale Raumstation ISS oder das Weltraumteleskop Hubble sowie viele weitere GPS-Satelliten entdecken. Tippen Sie die Flugobjekte an, um mehr zu erfahren. Damit Sie nicht verpassen wenn sich ein sichtbarer Satellit über Ihren Standort befindet, können Sie sogar eine Erinnerung stellen. Die App funktioniert auch offline und ohne GPS. <br><br> Preis: 3,99 Euro
Peaks Mit der App Peaks lernen Sie in kürzester Zeit alle Berge kennen, die sich in Ihrer Nähe befinden. Halten Sie dazu die Kamera Ihres iPhone in Richtung Berg. Peaks verrät Ihnen daraufhin den Namen, die Entfernung und die Höhe des Berges. Die App ist auch im Offline-Modus nutzbar. <br><br> Preis: 2,99 Euro
Layar Mit dem Layer Reality Browser lassen sich Attraktionen und Sehenswürdigkeiten in der näheren Umgebung finden. Dazu werden Ihnen ortsbezogene Informationen wie Entfernung, Richtung und Inhalte von Drittanbietern wie Google, Wikipedia, Yelp oder Qype angezeigt. <br><br> Preis: kostenlos
Fazit
Wir wollen hier keine detaillierte Anleitung geben. Auch das Diskreditieren einzelner Anbieter liegt uns fern. Viel mehr möchten wir Ihnen die Augen öffnen, dass die Versprechen von Wrapping individuell zu bewerten und den PPT-Slides oder Flyer-Versprechen der Anbieter nicht blind vertraut werden sollte
Unter den Plattformen am Markt, ist mit entsprechendem Wissen ein derartiger Eingriff möglich. Natürlich arbeiten Wrapping Anbieter auch hier mit Gegenmaßnahmen. Die Anbieter unterscheiden sich dabei in ihrer Qualität stark. Arbeiten einige mit aufwändigen Hash-Verfahren und nutzen tiefgreifende Verschleierungsverfahren, um die Schutzmaßnahmen integer abzusichern, so arbeiten andere Anbieter mit einfachen BASE64 Verschleierungen, die bereits Informatik Studenten des ersten Semesters Problemfrei aushebeln können. (bw)