Mobile Schwachstellen bereiten Sorgen
Foto: IBM
Fast 70 Prozent der Sicherheitsexperten sehen in den Schwachstellen von Smartphones und Tablets eine deutliche Bedrohung, wie eine Befragung von Tenable Network Security auf der RSA Conference 2012 ergab. 68 Prozent der Befragten gaben zudem an, über kein Verfahren zu verfügen, um die mobilen Schwachstellen aufzuspüren. Gleichzeitig wuchs die Zahl der Sicherheitslücken in mobilen Betriebssystemen und Apps innerhalb eines Jahres um 19 Prozent, so zum Beispiel der IBM X-Force 2011 Trend and Risk Report.
Jedes zweite Android-Smartphone betroffen
Mindestens eine Schwachstelle hat jedes zweite Smartphone auf Android-Basis. Die Schätzung basiert auf einer Untersuchung von Duo Security, bei der mehr als 20.000 Android-Geräte analysiert wurden.
Eine Studie von Mobilisafe geht sogar davon aus, dass 71 Prozent aller mobilen Endgeräte massive Sicherheitslücken aufweisen und alle 1,6 Tage eine neue Schwachstelle hinzukommt.
Schwachstellen bei Tablets und Smartphones führen zum Beispiel dazu, dass mobile Anwendungen höhere Berechtigungen erlangen können, als sie eigentlich bekommen sollen, dass bestimmte Programmfehle ohne Überprüfung ausgeführt werden oder dass Speicherbereiche des mobilen Endgerätes missbraucht werden können.
Fehlerbehebungen lassen auf sich warten
Solche Schwachstellen gibt es nicht nur bei Smartphones und Tablets. Bei mobilen Endgeräten jedoch besteht eine größere Gefahr, dass sie relativ lange bestehen bleiben und sie mit größerer Wahrscheinlichkeit von Datendieben und Hackern ausgenutzt werden.
Aktualisierungen zur Fehlerbehebung bei mobilen Betriebssystemen und Apps werden bei weitem nicht so regelmäßig angeboten, wie man es zum Beispiel im PC-Bereich gewohnt ist. Manche Smartphone- oder Tablet-Nutzer bleiben Monate oder sogar dauerhaft auf den Schwachstellen sitzen, weil es zum Beispiel für ihre spezielle Android-Version kein aktuelles Update gibt. Wie vielfältig die Versionslandschaft bei Android-Geräten ist und wie viele ältere Android-Versionen gegenwärtig noch aktiv genutzt werden, zeigen die Dashboards für Android-Entwickler. Demnach nutzen mehr als 75 Prozent der Android-Nutzer noch eine Version älter als 4.0.
Kein Fall für klassische Anti-Malware
Die entdeckten Android-Schwachstellen resultieren insbesondere aus Programmierfehlern und nicht etwa aus einer Infektion mit mobilen Schadprogrammen. Deshalb sind klassische mobile Malware-Scanner ungeeignet, die riskanten Sicherheitslücken zu entdecken. Hier sind spezielle, mobile Schwachstellen-Scanner gefragt.
1. Schwachstellen-Scanner auch für mobile Geräte
Foto: Screenshot Präsentation Tenable Network Security
Der Schwachstellen-Scanner Nessus 5.0 von Tenable Network Security zum Beispiel kann nun auch für die Schwachstellenanalyse bei mobilen Endgeräten genutzt werden. Wählt man bei Nessus die Option "Mobile", sammelt der Schwachstellen-Manager relevante Informationen über die im Unternehmensnetzwerk bzw. Mobile Device Manager (MDM) registrierten, mobilen Endgeräte. Dabei wird unter anderem der Versionsstand des mobilen Betriebssystems erhoben.
Auch die Retina CS Vulnerability Management Console von eEye Digital Security bezieht mobile Endgeräte wie Android-Smartphones und Blackberry-Geräte in die Schwachstellen-Analyse der IT-Infrastruktur mit ein.
Die Software listet mobile Endgeräte, die ein veraltetes mobiles Betriebssystem nutzen, auf und bewertet den jeweiligen Sicherheitsstatus. Dadurch wird der Aktualisierungsbedarf bei den mobilen Endgeräten deutlich. Der Administrator kann auf Geräteebene nachvollziehen, wo welche bekannten Schwachstellen vorliegen.
Foto: Screenshot Google Play
Um das zu erreichen, werden eindeutige Gerätekennungen wie zum Beispiel Seriennummern in den Schwachstellen-Bericht aufgenommen. Er beschreibt die mit dem veralteten Versionsstand verbundenen Sicherheitsrisiken und gibt Empfehlungen zur Fehlerbehebung. Insbesondere weist er auf verfügbare Patches des Herstellers hin.
2. Schwachstellen-Scanner speziell für Android
Die X-Ray App von Duo Security sucht speziell Schwachstellen auf Android-Geräten. Für die Installation muss dem jeweiligen Android-Gerät allerdings erlaubt werden, auch Apps außerhalb von Google Play zu installieren. Da bei einigen App-Stores mit erhöhten Sicherheitsrisiken zu rechnen ist, sollte man diese Einstellung nicht dauerhaft so belassen.
Foto: Screenshot www.xray.io
Nach dem Start durchsucht die Scanner-App das jeweilige Android-Gerät nach bestimmten Schwachstellen. Sie wertet dazu Informationen über die Betriebssystemversion, das Gerätemodell und den Netzbetreiber aus. Wird sie fündig, meldet sie die entsprechenden Schwachstellen. Die Beschreibung der daraus resultierenden Gefahren dürfte jedoch die meisten Anwender etwas überfordern.
Foto: Screenshot www.xray.io
Zudem folgt auf die Entdeckung der Schwachstellen nicht direkt die Fehlerbehebung. Hier muss der Nutzer aktiv werden und sich um die aktuelle Android-Version für sein Smartphone bemühen, sofern eine solche Version bereits oder überhaupt verfügbar ist. Die X-Ray App gibt aber generelle Hinweise zum weiteren Vorgehen und sagt insbesondere, wie man im Android-Betriebssystem die Suche nach möglichen Patches startet.
3. Risikoanalyse für Schwachstellen inklusive
Foto: Screenshot Präsentation Mobilisafe
Mobilisafe geht einen Schritt weiter und bietet umfangreiche Hilfe bei der Bewertung der entdeckten Schwachstellen. Zum einen erhebt die Software den Versionsstand des mobilen Betriebssystems und informiert den Nutzer über verfügbare Updates, die er mit Hilfe des jeweils auf dem Endgerät angezeigten Link zum Patch direkt installieren kann.
Foto: Screenshot Präsentation Mobilisafe
Zum anderen berechnet das Programm für jedes analysierte mobile Endgerät aber auch ein Vertrauensfaktor namens TrustScore und gibt damit den Grad der Bedrohung an. Auf dieser Basis ist es möglich, den Anwender gezielt über zu treffende Sicherheitsmaßnahmen zu informieren. Innerhalb der vorgegebenen Zeitspanne nicht aktualisierte Geräte oder solche, deren TrustScore als zu gering definiert sind, lassen sich für den weiteren Netzwerkzugang blockieren.
4. Die "Schwachstelle" Mensch nicht vergessen
Veraltete mobile Betriebssysteme stellen nicht die einzige Sicherheitslücke bei Tablets und Smartphones dar. Auch der Benutzer selbst ist eine Gefahr. 47 Prozent der Smartphone-Nutzer verwenden nach eigenen Angaben keinen Virenschutz; jeder fünfte verzichtet auf jegliche Sicherheitsfunktionen, wie eine BITKOM-Umfrage ergeben hat.
Foto: Screenshot Präsentation Core Security
Dieses mangelnde Risikobewusstsein der Nutzer im mobilen Internet spielt insbesondere dann eine Rolle, wenn ein Unternehmen dem ByoD-Trend (Bring your own Device) folgt, bei dem private Endgeräte betrieblich genutzt werden. Entscheidend ist hier eine andere Form mobiler Schwachstellensuche - die Suche nach unerlaubten Apps auf betrieblich genutzten Smartphones und Tablets. Helfen können die Scanning-Funktionen der Mobile Device Manager wie AirWatch Mobile Device Management oder Sophos Mobile Control, die die auf den Endgeräten installierten Apps ausfindig machen und die von den Vorgaben abweichenden Geräte blockieren.
Foto: Screenshot Präsentation Core Security
Das sicherheitsrelevante Verhalten der Nutzer kann ebenfalls einer Art Schwachstellenanalyse unterzogen werden. Möglich wird dies zum Beispiel mit Core Impact Pro. Damit lassen sich Phishing-Tests über E-Mail und SMS für die mobilen Nutzer genauso aufsetzen wie das Vorspielen bösartiger WLAN Access Points, die auf Dienstreisen den mobilen Anwendern und ihren Daten schnell zum Verhängnis werden könnten. Auch die Demonstration, wie einfach heimliche Bewegungsprofile der Nutzer erstellt werden können, zeigt deutlich, welche Folgen unsichere Einstellungen und Funktionen bei Smartphones und Tablets unter Umständen haben.
5. Auch die Apps haben Schwachstellen
Die Suche nach Schwachstellen mobiler Endgeräte darf natürlich die Apps nicht außer Acht lassen. Eine Studie von Arxan zeigt, dass über 90 Prozent der 100 beliebtesten, kostenpflichtigen Apps für Hacker angreifbar sind.
Lösungen wie IBM Security AppScan machen sich auf die Suche nach unsicheren, angreifbaren Apps. Damit können auch intern entwickelte mobile Apps auf Schwachstellen hin geprüft und noch vor der Produktivphase besser abgesichert werden. Bereits verfügbare Apps sind mit App-Scannern prüfbar - diese lassen sich teil als Bestandteil mobiler Sicherheitslösungen, teils als Cloud-Dienst nutzen.
Auf den Lückenschluss kommt es an
Zu einem mobilen Schwachstellenmanagement gehört ein mobiles Patch-Management zwingend dazu. Werden entdeckte Schwachstellen nicht behoben, muss der Nutzer sonst aus Sicherheitsgründen ganz auf sein mobiles Endgerät verzichten.
Mobile Schwachstellen-Scanner steigern nur dann die mobile Datensicherheit, wenn die Nutzer angehalten werden, die Schwachstellen zu schließen oder die Updates sogar automatisch eingespielt werden. Separate Schwachstellen-Scanner wie die X-Ray App sind deshalb sinnvoll, um die Nutzer auf die Problematik der mobilen Schwachstellen hinzuweisen.
Eine direkte Optimierung der mobilen Datensicherheit bieten Schwachstellen-Scanner, die mit Mobile Device Managern (MDM) zusammen arbeiten oder selbst Teil einer MDM-Lösung sind. Dazu gehören die vorgestellten Produkte Nessus, Retina CS und Mobilisafe. Mit diesen ist in der Regel auch das Patch-Management für die mobilen Endgeräte sichergestellt.
Nicht ohne weitere mobile Sicherheitslösung
Mobile Schwachstellen-Scanner sind ein wichtiger Teil des Vulnerability Managements und der mobilen Datensicherheit, haben aber für sich genommen Einschränkungen: Ohne Patch-Management bleiben die Sicherheitslücken bestehen. Schwachstellen-Scanner ersetzen auch keine mobile Anti-Malware-Lösung.
Zudem sollte klar sein, dass nur bekannte Schwachstellen gemeldet werden, die in der Datenbank des Schwachstellen-Scanners bereits hinterlegt sind. Auch Schwachstellen-Scanner brauchen regelmäßige Updates. Zudem helfen die besten Features nicht, wenn die Programme nur selten zum Einsatz kommen. Am besten ist es deshalb, sowohl die Schwachstellen-Scans als auch die Aktualisierung der Schwachstellen-Datenbanken so weit wie möglich zu automatisieren. (sh)