App-Entwicklung »Appicaptor« spürt Risiko-Apps auf

Jede App kann ein potenzielles Sicherheitsrisiko für ein Unternehmen sein.
Jede App kann ein potenzielles Sicherheitsrisiko für ein Unternehmen sein.

Das Fraunhofer SIT kombiniert verschiedene Testmethoden in einem Werkzeug, um Sicherheitslücken in Android- und iOS-Apps aufzuspüren, denn die Portale der Hersteller prüfen nur lückenhaft.

Jede App, die ein Mitarbeiter auf einem mobilen Gerät installiert, kann für sein Unternehmen ein potenzielles Sicherheitsrisiko darstellen. Andererseits können Firmen kaum verhindern, dass Mitarbeiter verschiedene Apps auf ihr Gerät laden. Deshalb hat das Fraunhofer-Institut für Sichere Informationstechnik (SIT) das Testwerkzeug »Appicaptor« entwickelt, das prüft, ob Apps die Sicherheitsanforderungen von Unternehmen erfüllen. Das Testwerkzeug wird gegenwärtig zur Analyse von iOS- und Android-Apps verwendet, ist jedoch auf andere Plattformen erweiterbar. Die Sicherheitsüberprüfung einer App dauert durchschnittlich zehn Minuten. Anwender-Unternehmen oder App-Entwickler können unter www.sit.fraunhofer.de/appicaptor einen kostenlosen Beispielbericht anfordern.

Adressbuch, Emails, Passwörter – viele Nutzer wissen nicht, worauf ihre Apps zugreifen und was mit ihren Daten passiert. Darüber hinaus können Apps auch Schwachstellen enthalten, die für Unternehmen ein großes Risiko bedeuten. Denn Angreifer können solche Sicherheitslücken für Sabotage oder Wirtschaftsspionage nutzen, auch wenn sie selbst die Apps nicht programmiert haben. »Die Sicherheitsprüfungen der verschiedenen App-Stores suchen nicht ausreichend nach Schwachstellen-Indikatoren, deshalb haben wir Appicaptor entwickelt«“, sagt Dr. Jens Heider, Abteilungsleiter »Testlab Mobile Security« am SIT.

»Appicaptor« generiert neben Black- oder Whitelists auch einen Testbericht, in dem die Ergebnisse detailliert beschrieben sind. Viel Entwicklungsarbeit haben die Wissenschaftler in die Verständlichkeit gesteckt: Anfangs lieferte »Appicaptor« Ergebnisse, die nur Informatiker verstehen. Mittlerweile gibt die Software allgemeinverständliche Warnungen aus, etwa: »Die App speichert Daten unverschlüsselt und birgt daher ein Sicherheitsrisiko«. Eine weitere Hürde, die die Forscher zu meistern hatten, lag in der Geschlossenheit der iOS-Systeme: Der Apple-Konzern hält sich bedeckt darüber, wie das System aufgebaut ist. Die Wissenschaftler mussten also selbst herausfinden, was unter der Haube steckt und welche Risiken der Plattform geprüft werden müssen.

Derzeit bietet Fraunhofer SIT »Appicaptor« nur im Rahmen von forschungsgestützten Dienstleistungen an. Heider und sein Team entwickeln das Testwerkzeug ständig weiter und fügen neue Prüfkriterien hinzu. Der Transfer der Forschungsergebnisse in die Praxis wird unterstützt durch den europäischen Fonds für regionale Entwicklung (EFRE).