Beitragsbild zum Artikel: Wieso ist App Sicherheit wichtig?

Wieso ist App Sicherheit wichtig?

Unser Smartphone ist aus dem Alltag nicht mehr wegzudenken. Bereits 57 Millionen Deutsche besitzen ein Smartphone.

Egal ob jung oder alt – das Smartphone ist allgegenwärtig und das zurecht.

Digitale Alleskönner

Unser Smartphone ist weitaus mehr als ein Gerät mit dem wir kommunizieren oder spielen. Heute erledigen wir unseren Einkauf über das Smartphone, öffnen die Haustüre oder stellen die Temperatur der Heizung von unterwegs ein. Für so gut wie jeden Anwendungszweck gibt es eine App und die meisten sind vernetzt – mit IoT.

IoT – Was ist das?

IoT steht für Internet of Things. Also das Internet der Dinge. Im Grunde ist das ganz einfach erklärt.

Man nehme einen Lichtschalter und verbindet ihn mit dem Internet und stellt eine Programmierschnittstelle dazu bereit und schon erhalten wir einen ferngesteuerten Lichtschalter, der mit dem Smartphone angesteuert werden kann.

Seit 2015 steigt dieser Trend massiv. Es werden von Jahr zu Jahr mehr solcher Geräte entwickelt, produziert und vertrieben.

Wir können fast alles vernetzen und steuern. Das ist wunderbar.  Jetzt im Jahr 2019 haben wir eine ungefähre Anzahl von 26 Milliarden vernetzte Geräte. Die Prognose bis 2025 liegt bei 75 Milliarden.

Vernetzte Geräte bringen uns also eine ganz neue Möglichkeit unseren Alltag, zu meistern. Kombiniert mit unserem Smartphone ist das die ultimative Mixtur, um von überall aus „Dinge“ zu steuern.

App Sicherheit

Überall vernetzt zu sein bedeutet im Umkehrschluss, dass wir von überall aus erreichbar, steuerbar, angreifbar und unsicher sind.

Aber warum ist das so?

Viele dieser vernetzten Geräte sind mangelhaft und sehr schlecht umgesetzt. Kunden werden aktiv getäuscht über die vermeintliche Sicherheit. Nicht weil die Unternehmen den Kunden ein falsches Gefühl von Sicherheit vermitteln wollen, sondern weil ein sehr großer Fachkräftemangel im Bereich Sicherheit auf der ganzen Welt zu verzeichnen ist. Das führt dazu, dass Unternehmen vermeintlich sichere Apps aktiv bewerben.

Statistic: Internet of Things (IoT) connected devices installed base worldwide from 2015 to 2025 (in billions) | Statista

Die meisten Services stellen irgendeine Art von API-Schnittstelle zur Verfügung.

Wir bei Liasoft erstellen Sicherheitsanalysen von Apps. Vor jeder Analyse starten wir eine automatisierte Kurzanalyse. Hier prüfen wir auf alle Fälle, die wir mindestens ein mal händisch analysiert haben und kategorisieren konnten.

Massive automatisierte Analyse von Apps

Bis einschließlich zum 15. April 2019 haben wir 15000 Apps mit API Zugriff automatisiert analysiert. Bei diesen Apps handelt es sich nur um Apps von deutschen Herstellern und das aus sämtlichen Branchen und das vom Kleinunternehmer bis zum Großkonzern. 900 von diesen Unternehmen haben wir sofort kontaktiert weil wir dort sehr fatale Sicherheitslücken entdeckt haben. Nach vier Wochen haben wir 32 Rückmeldungen erhalten.

Warum? Gute Frage. Sicherheit ist anscheint nicht wichtig.

In 14320 Fällen sind folgende Kriterien zutreffend:

  • App erfordert einen Benutzerlogin.
  • App stellt eine API bereit mit zwei oder mehr Endpunkten.
  • App hat SSL, aber kein Zertifikats-Pinning.

In 12602 Fällen ist das geistige Eigentum nicht geschützt. Das heißt, der Quelltext der App lässt sich unmittelbar einfach wiederherstellen und vereinfacht die Analyse eines Reverse-Engineerers und Angreifers.

Mit Let’s Encrypt kann jeder ein SSL Zertifikat (auch im Low Budget Bereich) erstellen und durch die Browser-Hersteller wurde SSL mehr oder weniger zur Pflicht. Das ist gut.

Unser Ergebnis der Analyse ist in jedem Fall erschreckend. Leider schützt ein SSL Zertifikat nicht zwangsläufig vor Man-In-The-Middle Attacken. Gerade von unterwegs sind wir in mobilen WLAN Hotspots angemeldet und wenn diese uns förmlich dazu zwingen ein selbst signiertes Root-Zertifikat zu installieren,  so kann sämtlicher Datenverkehr mitgelesen werden.

3 Schritte um Kommunikation wirklich sicher zu machen.

Jeden Tag gibt es mehr vernetzte Geräte. Der Hyperkapitalismus in unserer Gesellschaft sorgt dafür, dass Services, Apps und Software schnell und unsauber entwickelt werden. Daraus folgt in zu vielen Fallbeispielen eine Implementierung eines RESTful Services mit SSL und – nichts, richtig. Damit ist der Service fertig. Anschließend wird ein vermeintlich sicherer neuer Service vermarktet.

Dabei fehlen eigentlich nur drei Schritte um Services wirklich abzusichern.

  • HSTS Header im Web Interface als Browser-Header aktivieren,
  • Zertifikats-Pinning im Client aktivieren,
  • 2 Faktor Implementierung von sensiblen API Calls.

Diese drei kleinen Schritte haben einen großen Effekt. Die Kommunikation zwischen Client und Server ist im Normalfall wirklich sicher! Natürlich gibt es hier auch Mittel und Wege um einzugreifen, aber das erfordert erweiterte Angriffsszenarien.

Wir hoffen das sich dieser Trend in der Sicherheit in den nächsten Monaten verbessert.

Weiterlesen

Wir greifen das Thema auch in Zukunft weiter auf und werden daraus eine Blog-Reihe starten um gezielt alle angeschnitten Themen im Detail zu behandeln.

Verunsichert?

Gerne machen wir eine kostenlose Kurzanalyse Ihrer App.

Update und Nachtrag vom 20.04.2019:

Wir haben einen Absatz besser ausformuliert um Missverständnisse mit selbst signierten Zertifikaten zu vermeiden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.