Der Feind sitzt in der App

App-Stores haben sich mit dem iPhone und dem iPad, aber auch für Android und mit dem App-Store von Apple für OS X zu dem neuen Vertriebskanal für Anwendungen entwickelt. Für iOS-Geräte von Apple und für Android-Smartphones sind jeweils mehrere 100.000 Anwendungen erhältlich, die mehrere Milliarden mal heruntergeladen werden. Die Auswahl in den App-Stores übertrifft damit das Sortiment jedes Retail-Software-Hauses um Längen. Die europäische Sicherheitsagentur ENISA beschäftigt sich in einem Report mit der Sicherheit von App-Stores.

Die wachsende Popularität dieses Vertriebskanals sei auch Cyber-Angreifern "keineswegs entgangen", so die ENISA. Im Laufe letzten Jahres sei bereits "eine Anzahl" schädlicher Apps entdeckt worden, die auf eine Vielzahl von Smartphone-Modellen zugeschnitten sind. "Mit schädlichen Apps können Angreifer ohne Weiteres auf den immensen Vorrat an privaten Daten zugreifen, der auf Smartphones zu finden ist" schreiben die Autoren der Studie. Marnix Dekker und Giles Hogben. Dazu zählten vertrauliche, geschäftliche E-Mails, Aufenthaltsorte, Telefonanrufe und Textnachrichten.

5 Verteidigungslinien für App-Stores

Über diese virulente Gefahr aber seien sich die Kunden der App-Stores "kaum bewusst". Um moderne Smartphones vor solchen Anwendungen zu schützen, hat die ENISA "fünf Verteidigungslinien" für App-Stores entwickelt: App-Prüfungen, Reputation, Kill-Switches, Gerätesicherheit und Jails.

1. App-Prüfungen

Die ENISA rät App-Stores dazu, Apps zu prüfen, bevor sie über den Store zu kaufen sind. Obwohl solche Reviews niemals perfekt sein könnten, relativiert die Sicherheitsagentur, würden sie doch die Möglichkeiten einschränken, Malware über Apps zu verteilen. Es gebe Tools für die automatische Prüfung, die das Verfahren deutlich vereinfachen würden. Zusätzlich könnten manuelle Prüfroutinen für mehr Sicherheit sorgen.

Fing
Fing zeigt mit dem Netzwerk verbundene Geräte an.

Fing
Anschließend überprüft Fing welche Dienste auf dem Gerät laufen und welche Ports geöffnet sind.

Fing
Ein Statusreport kann durchaus sinnvoll sein.

iNet Netzwerkscanner
Diese App kann Netzwerke oder definierte IP-Bereiche auf aktive Geräte scannen.

iNet Netzwerkscanner
Sie können den Scanvorgang inklusive Ergebnisse abspeichern.

Net Status
Das Tool scannt einen angegebenen IP-Bereich.

Net Status
Über die Einstellungen können Sie Paketrate und Timeout für den entsprechenden Dienst festlegen.

Net Status
In den Einstellungen der jeweiligen Geräte sehen Sie die gefundenen Dienste und können auch unwichtige Dienste von der Überprüfung ausnehmen.

Nice Trace
Sie geben bei der App eine IP-Adresse ein und bekommen angezeigt, über welche Stationen die Anfrage geht.

Nice Trace
Wenn Sie auf einen Knoten klicken, können Sie auch Whois-Abfragen starten.

Nice Trace
Ebenso bekommen Sie weiterführende Informationen angezeigt.

Network Utility
Die App macht das Pingen per Oberfläche einfach.

Network Utility
Sie können den Host pingen lassen und mit Scan die geöffneten Ports testen.

Network Utility
Hosts im Internet lassen sich über GeoIP genau lokalisieren

Network Utility
Whois-Abfragen sind ebenso möglich.

System Status
Die App liefert umfangreiche Informationen zum eigenen iPhone.

System Status
Sie erhalten Informationen zum aktuellen WLAN, der eigenen MAC- und IP-Adresse, sowie Informationen zur aktuellen Mobilfunkzelle.

AppTicker Free
Mit der App sehen Sie auf einen Blick, welche Apps am aktuellen Datum kostenlos zur Verfügung stehen.

AppZapp
AppZapp bietet eine gute ?bersicht ?ber den Appstore.

FileApp
Mit der App können Sie beispielsweise PDF-Dateien lesen und Dokumente mit anderen Benutzern teilen.

FileApp
Die App zeigt die IP-Adresse des Gerätes an und wie Sie sich mit der App verbinden, um Daten auszutauschen.

TimeSheet
Mit der kostenlosen App Stundenzettel erfassen Sie Arbeitsstunden und Zeiten für Projekte.

TimeSheet
Pausen lassen sich einfach erfassen.

TimeSheet
Gesamte Arbeitsstunden lassen sich zusammen addieren.

TimeSheet
Sie können sich Übersichten anzeigen lassen.

SamCard
Die App SamCard erfasst Visitenkarten mit der Kamera und kann die aufgedruckten Daten auslesen.

CamCard Lite
Die kostenlose App erlaubt in der ersten Woche bis zu zehn gescannte Karten, in der zweiten Woche noch zwei.

Dragon Dictation
Die App hilft beim Diktieren von Notizen, E-Mails oder SMS.

Dragon Dictation
Achten Sie darauf, die Einstellungen korrekt vorzunehmen.

Dragon Dictation
Sie starten die App und können mit dem Diktieren loslegen.

Genius Scan
Wählen Sie den Bereich aus, den die App scannen soll.

Genius Scan
Die App kann ?ber die Kamera oder abgespeicherte Bilder in der Galerie Dokumente scannen und als JPEG oder PDF weitergeben.

FreeFax
Mit der kostenlosen App können Sie eine Seite pro Tag faxen.

2. Reputation

Auch der gute Ruf einer App kann dazu beitragen, Gefahren abzuwenden. Daher sollten App-Stores potenziellen Kunden vorhandene Informationen über App-Entwickler und die Apps selber zur Verfügung stellen. In diesem Zusammenhang appelliert die ENISA an die Betreiber der Shops, auch App-Bewertungen aus anderen Plattformen für diese Informationen hinzuzuziehen. Nötig dafür wäre aber ein gemeinsamer Sicherheitsansatz der unterschiedlichen Plattformen und ihrer Protagonisten.

Ein Problem sei es in diesem Zusammenhang, dass Anwender Apps oft aufgrund ihrer Funktionalität bewerteten, nicht aber aufgrund ihrer Sicherheitsfunktionen. Folgerichtig fordert die ENISA die Aufnahme solcher Bewertungskritierien (wie "Die App funktioniert prima, verlangt aber ausführliche Privilegien bei der Installation.")

Apps auf Sicherheit prüfen

3. Kill-Switches (App-Rückruf)

Für fälschlicherweise in Umlauf gebrachte unsichere oder verseuchte Programme fordert die ENISA eine Rückruf-Option für die Shops. Um das zu ermöglichen, müssten aber Plattformen wie iOS oder Android entsprechende Mechanismen anbieten. Ein Kill-Switch muss in der Lage sein, eine App vom Gerät vollständig zu entfernen und einen Zustand wiederherzustellen, wie vor der Installation der Malware.

4. Gerätesicherheit

Die Verteidigungslinien der App-Stores hängen auch an der Sicherheit der Geräte, auf denen die Anwendungen laufen. Die Geräte sollten Apps in sogenannten Sandboxes installieren und betreiben. Das Absondern der App vom System soll verhindern, dass eine Anwendung sich in sicherheitsrelevante Bereiche hackt. Im "Sandkasten" soll eine App zudem nur minimale Rechte und Privilegien bekommen. Auch das soll dem Eindringen in den Kern eines Betriebssystems vorbeugen. Schließlich fordert die ENISA, dass in der Sandbox für den Anwender sichtbar aufgezeichnet wird, was eine Anwendung dort genau macht.

5. Jails ("umzäunte Gärten")

Die Anbieter von Smartphones und Plattformen können ihre Geräte so spezifizieren, dass sie ihre Apps nur von bestimmten Quellen beziehen können. Das verhindert zwar nicht jede Form von Malware, aber immerhin solche, die man sich "mal eben im Vorübergehen" einfängt - etwa durch den Besuch einer interessanten, in Wirklichkeit aber "bösen" Webseite. Landläufig bezeichnet man solchen Schutz als "umzäunte Gärten" oder "Gefängnis".

Wie iOs sicher wird
Um den scharfen Krallen von "Talking Tom" zu entkommen, lesen Sie unsere Tipps...

Eingeschränkt
Moderne Oberfläche, beliebtes Gerät – das iPhone von Apple: Der Benutzer kann vorinstallierte Apps wie "Wetter" und "Aktien" aber leider nicht selbst entfernen. Hersteller Apple kann hingegen im Bedarfsfall Apps automatisch deinstallieren.

Doppelsperre
Die wichtigsten Sicherheitseinstellungen unter iOS: die "Automatische Sperre" des Geräts und die "Code-Sperre". Mit ihrer Hilfe können unberechtigte Personen davon abgehalten werden, Zugriff auf die Daten zu bekommen.

WLAN aus!
Wer kein WLAN benötigt, sollte tunlichst die "Wi-Fi-Verbindung" ausschalten: Das verlängert nicht nur die Akkuleistung sondern senkt auch das Sicherheitsrisiko.

Sparsam mit den Apps
Ein weiterer wichtiger Tipp: Ungenutzte Applikationen sollten stets deinstalliert werden, das spart Speicherplatz und verringert das Risiko. Sobald Apple ein Update bereitstellt, sollte dieses zudem zügig installiert werden.

Update-Service
Der Update-Service für Apps macht es dem Benutzer wahrlich leicht – dieser sollte genutzt werden: Die Wahrscheinlichkeit unter iOS Opfer einer "Re-Packing"-App zu werden ist sehr gering.

Passwort please
Ein Vorteil in Bezug auf die Sicherheit: Einschränkungen auf dem iPhone stellen sicher, dass Funktionen nur durch Eingabe des Codes ausgeführt werden können.

Spielend sicher?
Ein typisches "Apple-Problem": Antivirus-Programme für iOS gibt es nicht – wer im Store danach sucht, findet lediglich Spiele.

Teurer Kater
Ein echter Angriff auf die iOS-Welt: Die Werbeeinblendungen von "Talking Tom" bestanden mitunter kostenpflichtige Abos oder 0900-Rufnummern und zeigten, dass auch dieses System kompromittiert werden kann

Risikoverwaltung
Wichtig in professionellen Umgebungen, in denen mobile Geräte zum Einsatz kommen: Der zentrale Blick auf die installierten Programme der Geräte zeigt mögliche Gefahren.

MDM
Das sogenannte Mobile Device Management (MDM): Mit Hilfe dieser Technik können IT-Administratoren die Sicherheitseinstellungen von Smartphones zentral steuern.

Die Smartphones, fordert die ENISA, sollten entweder gegen die Benutzung unsicherer Stores geblockt sein, oder - für fortgeschrittene Anwender - mindestens deutliche Warnungen vor der Installation von Apps aus unsicheren Quellen aussprechen.

Restriktion ja, aber nicht zu viel

Auf diesen Punkt legt ENISA besonderen Wert: Wenn Anwender ihre Apps beliebig aus unterschiedlichen Quellen beziehen können, sei es einfach für Angreifer, ihre Malware unters Volk zu bringen. Andererseits ist auch zu viel Restriktion schlecht: Strenge Abschottung sei allenfalls eine Aufforderung für Anwender, die Schutzmechanismen gezielt außer Kraft zu setzen ("Jailbreak"), um an andere Anwendungen zu gelangen. Insbesondere sollte die Umzäunung nicht genutzt werden, um legitimen Wettbewerb einzelner Anbieter zu verhindern.

Trotz der Unterschiede zwischen den einzelnen Smartphone- und Tablet-Modellen und der unterschiedlichen Vertriebsansätze der Shops rät die ENISA der App-Branche zu einem gemeinsamen Ansatz beim Umgang mit schädlichen oder unsicheren Anwendungen. Noch sei die Zahl schadhafter Apps bei Smartphones im Vergleich zu PCs "eher gering", kommentiert Udo Helmbrecht, geschäftsführender Direktor der ENISA, der sich wünscht, dass das über die von seiner Organisation vorgeschlagenen Maßnahmen auch noch lange so bleibt.

Der vollständige Report Appstore Security ist kostenlos bei der ENISA erhältlich.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO. (ph)