So lässt sich die Sicherheit von Apps verbessern

saveappiconBestimmte Apps verursachen Sicherheitsprobleme, seitdem Hacker Smartphones als lohnendes, oft schlecht gesichertes Ziel ausgemacht haben. App-Entwicker sollten einige Techniken und Tricks kennen um ihre Apps sicherer zu machen. Durch immer neue Banking-, Messenger und Social-Media-Apps bekommen Smartphones die Funktion eines Generalschlüssels mit Zugriff auf private und geschäftliche Informationen, Fotos, Passwörter und vielem mehr. Sicherheitslücken und Angriffsmöglichkeiten erschüttern die Glaubwürdigkeit auch vieler bekannter Apps. So gelang es Hackern, Schadcode in so beliebte Apps wie “Angry Birds” einzuschleusen, der heimlich Premium-SMS verschickte.

 

Dies erschüttert das Vertrauen der Anwender in die App-Entwickler, denn er unterscheidet nicht zwischen diesen und den Hackern. Doch der Anwender muss nicht nur dem Hersteller des Gerätes Vertrauen, sondern auch den Herausgebern und Programmierern der Apps und dem Netzbetreiber.

 

Die Gefahren bei unsicheren Apps sind vielfältig: Sie können nicht nur gespeicherte Daten in fremde Hände geben, sondern auch hohe Kosten verursachen. Gehackte Apps bauen zum Beipsiel teure Telefonverbindungen auf oder versenden Premium-SMS. Andere können Anwender dauerhaft überwachen, indem sie Positionsdaten übermitteln.

 

Für App-Entwickler bedeutet dies:

1. Seriöse Quellen verwenden

Anwender nutzen überwiegend Apps aus vertrauenswürdigen Quellen – dem voreingestellten App-Store oder Markets des Herstellers oder dem Amazon Appstore. Dementsprechend müssen Apps in diesen möglichst prominent positioniert sein. Die meiste Malware in Android-Apps wird über alternative App-Stores verbreitet. Zum Beispiel kann eine reguläre App mit der Berechtigung "uneingeschränkter Internetzugriff" mit einem Trojaner bestückt und als "Sonderedition" in einem alternativen App-Store angeboten werden. Da die App aufgrund ihrer Funktionalität sowieso die Berechtigung "uneingeschränkter Internetzugriff" beantragt, fällt das Schadprogramm nicht weiter auf.

 

2. Zugriffsberechtigungen prüfen

App-Entwickler sollten überprüfen, auf welche Funktionen die App Rechte beansprucht und ob diese wirklich notwendig sind. Sind alle angeforderten Berechtigungen für die Funktion der App sinnvoll? Je nach Betriebssystem können Nutzer vor der Installation einer App sehen, welche Rechte die Anwendung nach der Installation erhält. Und sie achten darauf, dass Apps nur auf die Smartphone-Funktionen zugreifen können, die für den Anwendungszweck nötig und plausibel sind. Kritisch sind zum Beispiel die SMS-Funktion. Wird hier ein Zugriff angezeigt, bricht der Nutzer den Installationsvorgang oft ab und löscht die App.

 

3. Bewertungssysteme checken

Google setzt stark auf das Bewertungssystem seines Play Stores als Sicherheitsempfehlung. Je mehr Nutzer eine App verwenden und diese positiv bewerten, umso größer soll die Wahrscheinlichkeit sein, dass die App seriös ist, beziehungsweise schädliche Inhalte entdeckt werden. Für die Bewertung der Sicherheit einer App ist dieses Kriterium unbrauchbar. Beispiele wie die positiv bewertetet und wirkungslose App “Virus Shild” zeigen es. Dennoch empfehlt es sich, auf die Bewertungen der Apps zeitnah zu achten und sie auch als Frühwarnsystem zu nutzen, um auf mögliche Sicherheits-Threats wie Hacks aufmerksam zu werden.

 

Sicherheit unter Android

Nutzer von Apples iOS oder Windows müssen die Berechtigungen der Apps nicht bestätigen. Anders bei Android: Hier laufen Apps in einer geschützten, abgeschlossenen Umgebung. Die Sandbox bietet zum einen Schutz nach innen, dadurch sind Benutzerdaten der App vor fremdem Zugriff geschützt. Zum anderen enthält das Prinzip einen Schutz nach außen. Dieser verhindert, dass die App auf andere Benutzerdaten oder Systemdienste zugreifen kann. Für bestimmte Funktionalitäten wie Datenaustausch und Kommunikation wird die Sandbox mit Hilfe von Permissions nach außen geöffnet.

 

Android kennt etwa 160 verschiedene Berechtigungen, die von Google in Gruppen und Sicherheits-Stufen eingeteilt werden. Die Gruppen dienen zur Sortierung der Berechtigungen, sie sagen nichts über die Sicherheit aus. Gruppen sind zum Beispiel kostenpflichtige Dienste oder Nachrichten, SMS, E-Mails, Kontakte und der Kalender.

 

Google teilt sie in vier Stufen ein: normal, dangerous, signature und signatureOrSystem. User müssen die zugehörigen Berechtigungen bei der Installation einer App bestätigen. Von den in Android definierten Berechtigungen haben 60 die Sicherheitsstufe "dangerous". Dabei ist es möglich, dass mit der jeweiligen Berechtigung eine missbräuchliche Verwendung der entsprechenden Funktion durchgeführt wird. Hacker könnten somit Geräte kompromittieren und beispielsweise private Daten ausspionieren.

 

Viele User googeln Informationen über eine App, die ihnen als nicht vertrauenswürdig erscheint, zum Beispiel ob sie Malware enthält. Entwickler sollten die eigenen Informationen immer auf dem aktuellen Stand halten, da sie eine wichtige Informationsquelle für User sind. Und sich über Informationen, die ihre App betreffen, ständig auf dem Laufenden halten.

 

Sammelt eine App Ortungsdaten oder aktiviert eine Funkschnittstelle wird dies vom Smartphone in der Regel angezeigt und vom Nutzer geprüft. Jeder Zugriff der App sollte daher möglichst genau vorher erklärt werden. Nur so lässt sich das Vertrauen der Anwender gewinnen.  





Twittern