03.03.2014 11:17 Uhr in Computer & Internet von Universität Bremen

Mobile Web-Apps bieten Einfallstore für Datenspione

Kurzfassung: Mobile Web-Apps bieten Einfallstore für DatenspioneApps sind angesagt. Die Marktforscher von Gartner verzeichneten in 2013 weltweit 102 Milliarden Downloads aus allen App-Stores. Das schnelle Geschä ...
[Universität Bremen - 03.03.2014] Mobile Web-Apps bieten Einfallstore für Datenspione
Apps sind angesagt. Die Marktforscher von Gartner verzeichneten in 2013 weltweit 102 Milliarden Downloads aus allen App-Stores. Das schnelle Geschäft mit kurzen Entwicklungszeiten geht jedoch oft auf Kosten der Sicherheit, selbst bei Apps von großen Konzernen oder Banken. Wie sicher sind mobile Web-Apps eigentlich und welches sind die zentralen Schwachstellen? Dieser Frage sind Wissenschaftler des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen auf den Grund gegangen. Sie haben aus dem Play Store von Google exemplarisch Apps namhafter Hersteller heruntergeladen und dann zum einen das Kommunikationsverhalten und zum anderen den Softwarecode analysiert.
Berechtigungen ermöglichen Spionen das Abgreifen von Daten
"Wir finden immer wieder zwei Einfallstore für Datenspione", sagt TZI-Mitarbeiter Karsten Sohr. Zum einen fordern die Apps eine lange Liste von Berechtigungen, von denen viele gar nicht für die Funktionalität benötigt werden. Ein Beispiel ist die App eines großen Konzerns, über die Konzernnachrichten verbreitet werden. "Insgesamt 22 Berechtigungen haben wir registriert, wirklich gebraucht wird eigentlich nur der Zugriff auf das Internet. Doch das Problem ist, dass diese Berechtigungen Spionen ermöglichen, Daten abzugreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zuzugreifen. Das Perfide dabei: Der Nutzer bemerkt davon nichts", sagt Christian Liebig, der am TZI seine Masterarbeit über das Thema schreibt.
Einspeisen von Schadsoftware durch Lücken in der SSL-Verschlüsselung
Das andere Einfallstor ist die sichere Verschlüsselung nach dem SSL-Standard. "Die Programmierer machen hier immer wieder Fehler, weil es sehr komplex ist und hohe Kenntnisse erfordert", erläutert Sohr. Das Problem ist jedoch, dass Datenspionen eine minimale Sicherheitslücke im Softwarecode einer App ausreicht, um Java-Code einzuspeisen und das Smartphone übernehmen zu können. "Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden", berichtet Liebig. Basis für sehr viele Apps ist das Framework Cordova von Apache. Es kann von Programmierern ohne großen Aufwand für die verschiedenen App-Stores angepasst werden, fordert aber standardmäßig viele Berechtigungen. "Doch wer Cordova einsetzt, muss den gesamten Softwarecode sicher machen. Und er muss sich die Zeit nehmen, nur die Berechtigungen vom Nutzer abzufordern, die für die Funktionalität der App unerlässlich sind", sagt Liebig. Um Programmierern zu helfen, hat TZI-Kollege Bernhard Berger ein Tool entwickelt, mit dem sich jetzt Cordova-Apps für Android automatisiert auf Lücken testen lassen.

Weitere Informationen:
Universität Bremen
Technologie-Zentrum Informatik und Informationstechnik (TZI)
Karsten Sohr
Tel. 0421 218-63922
E-Mail: sohr@tzi.de
oder
Knut Köstergarten
Tel. 0421 3800353
Mobil: 0176 28059267
E-Mail: koestergarten@wortpiraten.de
Weitere Informationen
Universität Bremen
EinführungBremen ist zwar eine junge Universitätsstadt, aber der Plan, in Bremen eine Universität zu gründen, existiert schon lange:1584 wurde die Bremer Lateinschule zum "Gymnasium Academicum" aufgewertet.1610 erfolgte die Umwandlung zum "Gymnasium Illustre", einer Hochschule mit den vier klassischen Fakultäten Theologie, Jura, Medizin, Philosophie; diese bestand bis 1810.1811 war unter napoleonischer Herrschaft von einer "französisch-bremischen Universität" die Rede.1948 wurde über eine "Internationale Universität Bremen" nachgedacht.1971 nahm die Universität Bremen ihren Lehrbetrieb auf.Wie viele bundesdeutschen Hochschulgründungen der siebziger Jahre verstand sich die Universität Bremen als Reformhochschule. Man suchte nach neuen Wegen der Gestaltung von Lehre und Forschung. Aus den damaligen Reformvorstellungen -als "Bremer Modell" bekannt- hat sich eine anerkannte und attraktive Ausbildungskonzeption entwickelt, die als besondere Grundprinzipien Interdisziplinarität und ein praxisorientiertes Projektstudium aufweist. Seit 1997 nimmt die Universität Bremen als eine von sieben deutschen Universitäten an einem Modellvorhaben zur Reform der Hochschulverwaltung teil, das von der Volkswagen-Stiftung gefördert wird. Im Rahmen dieser "Organisationsentwicklung" soll durch konkrete Projekte die Kooperation und Kommunikation zwischen Universitätsverwaltung, Lehre und Forschung gefördert werden.Die Universität Bremen ist als Wissenschaftszentrum im Nordwesten Deutschlands:- Forschungsstätte für 1.630 Wissenschaftlerinnen und Wissenschaftler,- Studienplatz für ca. 18.000 Studierende,- Arbeitsplatz für über 1.100 Beschäftigte.
Universität Bremen,
, 28359 Bremen, Deutschland
Tel.: ;
Weitere Meldungen dieses Unternehmens
Erfolgreiche Pressearbeit eBook
Pressearbeit
Eine Pflichtlektüre für mehr Sichtbarkeit durch Pressemitteilungen.
Pressekontakt

Universität Bremen

28359 Bremen
Deutschland

E-Mail:
Web:
Tel:
Fax:
Drucken Weiterempfehlen PDF
Schlagworte
Permanentlinks https://www.prmaximus.de/99216

https://www.prmaximus.de/pressefach/universität-bremen-pressefach.html
Die Pressemeldung "Mobile Web-Apps bieten Einfallstore für Datenspione" unterliegt dem Urheberrecht. Jegliche Verwendung dieses Textes, auch auszugsweise, erfordert die vorherige schriftliche Erlaubnis des Autors. Autor der Pressemeldung "Mobile Web-Apps bieten Einfallstore für Datenspione" ist Universität Bremen, vertreten durch .