Beitragsbild zum Artikel Sicherheitsrisiken verstehen

Sicherheitsrisiken in Apps verstehen.

Kürzlich haben wir über das Thema „Wieso ist App Sicherheit wichtig?“ berichtet. Daraus ist diese Artikel-Serie entstanden. Heute beschäftigen wir uns mit dem Thema Sicherheitsrisiken in Apps verstehen.


Um die Kosten zu senken, ist es wichtig, Apps zu erstellen, bei denen Sicherheit von Beginn der Entwicklung an berücksichtigt wird. Auf diese Weise können Fehler früher gefunden und behoben werden, und es werden kostspielige Konstruktionsfehler entdeckt, die eine vollständige Neuentwicklung der Anwendung erforderlich machen. Anwendungen können nach dem Grad der in die Lösung integrierten Sicherheit eingeteilt werden. Die Sicherheitskontrollen sollten jedoch für den zu entwickelnden Anwendungstyp geeignet sein.

Eine Auflistung mit einer beispielhaften Bewertung ist unten zu sehen. Dies sollte an Ihre speziellen organisatorischen Anforderungen angepasst werden.

Schlechte Sicherheit

Sicherheit wurde bei der Entwicklung nicht berücksichtigt. Die Anwendung kann häufige Sicherheitsanfälligkeiten enthalten. Sicherheitstests wurden nicht durchgeführt.

Mittlere Sicherheit

Sicherheit wurde in Betracht gezogen und Sicherheitskontrollen wurden zum Schutz vor häufigen Sicherheitslücken implementiert. Sichere Verschlüsselungen sind implementiert und ein Penetrationstest wurde durchgeführt.

Hohe Sicherheit

Sicherheitskontrollen wurden implementiert und bewährte Sicherheitsmethoden angewandt. Erweiterte Anti-Analyse Techniken wurden eingesetzt (z. B. antispy)

Sicherheitstestfälle wurden geschrieben und in ein Build-System integriert. Sicherheitstests werden häufig durchgeführt und das mit der Anwendung verbundene Risiko ist bekannt.

Obwohl Anwendungen ein hohes Level anstreben sollten, würden in der Realität nicht alle Anwendungen dieses Sicherheitsniveau benötigen.

Welches Maß der Sicherheit ist für meine Anwendung richtig?

Beim Nachdenken über mobile Sicherheit sollten drei Angriffsszenarien in Betracht gezogen werden. Vor diesen sollte sich die App versuchen zu schützen. In allen Szenarien könnte das Reputationsrisiko so hoch sein (oder sogar noch mehr) als das Risiko für die Benutzer und sollte daher bei der Entscheidung über geeignete Sicherheitskontrollen berücksichtigt werden.

Szenario 1 – Gerät verloren oder gestohlen

Denken Sie in diesem Angriffsszenario über die Auswirkungen auf den Benutzer nach, wenn das Gerät verloren geht, oder gestohlen wird. Dies läuft darauf hinaus, was mit dem Gerät getan werden kann, wenn physischer Zugriff gewährt wird. Beachten Sie, dass von der Verwendung eines Gerätesperrbildschirms nicht ausgegangen werden kann.

Szenario 2 – Schädliche Software und Remote-Angriffe

Es ist wichtig zu überlegen, was passieren kann, wenn ein Benutzer unbeabsichtigt schädliche Anwendungen auf seinem Gerät installiert. Obwohl das Betriebssystem einige Schutzmaßnahmen bieten sollte, kann jede Malware, die mit erhöhten (möglicherweise Root-) Berechtigungen ausgeführt wird, diese Steuerelemente umgehen. Darüber hinaus können Sicherheitslücken im Betriebssystem vorhanden sein, die es böswilligen Anwendungen ermöglichen, diese Sicherheitskontrollen ohne höhere Berechtigungen zu umgehen.

Die meisten mobilen Betriebssysteme bieten Anwendungen die Möglichkeit, Informationen auszutauschen. Einige werden vom Anwendungsentwickler explizit aktiviert (z. B. IPC-Endpunkte in Android), während andere automatisch aktiviert werden (z. B. die Zwischenablage für die Funktion zum Kopieren / Einfügen). Diese sollten angemessen geschützt werden, damit sie nicht von Malware ausgenutzt werden können.

Diese Angriffskategorie umfasst auch das Abfangen und / oder Modifizieren von Kommunikationen wie Netzwerkverkehr. Dies kann besonders gefährlich sein, wenn in der Anwendung oder im Betriebssystem eine Sicherheitsanfälligkeit besteht, die von böswilligem Datenverkehr ausgenutzt werden kann, oder wenn vertrauliche Informationen über unverschlüsselte Kanäle gesendet werden.

Szenario 3 – Reverse Engineering

Das letzte Angriffsszenario bezieht sich auf die Möglichkeit eines Angreifers, die eigene Anwendung zu verwenden, um Schwachstellen zu ermitteln, die zum Angriff auf andere Benutzer oder zum Angriff auf serverseitige Anwendungen und Infrastruktur verwendet werden können. Obwohl oft gelehrt wird, dass Sicherheit durch Unklarheit keine gültige Technik zum Sichern von Anwendungen ist, sollte sie als Tiefenverteidigungsansatz verwendet werden – d.H. eine zusätzliche Sicherheitsebene.

Durch die Verlangsamung eines Angreifers werden Schwachstellen nicht aus der Anwendung entfernt, es kann jedoch mehr Zeit erforderlich sein, um nach der Bereitstellung entdeckte Fehler zu entdecken und zu beheben.

Es ist wichtig zu wissen, dass diese Art der Sicherheitskontrolle wichtig ist und auf jede Version der Anwendung angewendet wird, da eine einzelne Version ohne diese Kontrollen einem Angreifer ausreichend Informationen geben kann, um nach zusätzlichen Schwachstellen zu suchen.

Es ist bedauerlich zu sagen, aber in den letzten Jahren hat sich die Motivation der Angreifer geändert, und heutzutage ist reine Neugier selten der Grund, warum mobile Anwendungen angegriffen werden. Bei kriminellen Aktivitäten suchen viele Angreifer nach den niedrig hängenden Früchten. Ein Angreifer gibt häufig mehr Zeit und Aufwand für die Aufklärung einer Anwendung auf und verzichtet dabei zugunsten eines einfacheren Ziels.

Mehr zum Thema

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.