Fraunhofer Viele Unternehmens-Apps sind unsicher

Apps, die Webtechniken wie HTML und JavaScript nutzen, sind auch mit den Sicherheitsrisiken dieser Techniken behaftet.
Apps, die Webtechniken wie HTML und JavaScript nutzen, sind auch mit den Sicherheitsrisiken dieser Techniken behaftet.

Für Unternehmen sind besonders sog. Fileviewer-Apps wichtig, die die Darstellung vielfältiger Dokumente übernehmen. Viele davon haben schwerwiegende Sicherheitslücken.

Bei den App-Programmierern sind Frameworks für plattformübergreifende Apps, die sowohl unter Android als auch iOS funktioneren, besonders beliebt. Der Haken an der Sache: die Apps nutzen Webtechnologien wie HTML und JavaScript und sind damit auch mit den gleichen Sicherheitsrisiken behaftet wie diese Webtechnologien. Diesen Typus von Apps haben Fraunhofer-Forscher vom Institut für Sichere Informationstechnologie automatisiert unter die Lupe genommen. Die Ergebnisse haben sie im neuen Appicaptor-Security-Index veröffentlicht. Bei den App-Programmierern sind Frameworks für plattformübergreifende Apps, die sowohl unter Android als auch iOS funktioneren, besonders beliebt. Der Haken an der Sache: die Apps nutzen Webtechnologien wie HTML und JavaScript und sind damit auch mit den gleichen Sicherheitsrisiken behaftet wie diese Webtechnologien. Diesen Typus von Apps haben Fraunhofer-Forscher vom Institut für Sichere Informationstechnologie automatisiert unter die Lupe genommen. Die Ergebnisse haben sie im neuen Appicaptor-Security-Index veröffentlicht. 

Laut den jüngsten Tests des Fraunhofer SIT nutzen 81 Prozent der beliebtesten kostenlosen iOS-Apps für die Kommunikation immer noch unverschlüsselte HTTP-Verbindungen, um Inhalte wie HTML-Seiten und JavaScript-Code zu laden. Bei Android haben 86 Prozent der 2000 beliebtesten, kostenlosen Apps Verschlüsselungsmängel. Solche Sicherheitslücken betreffen jedoch nicht nur News- oder Taschenlampen-Apps, sondern auch die für Unternehmen wesentlich kritischeren File-Viewer-Apps, wie beispielsweise PDF-Reader. Ganze 73 Prozent der analysierten File-Viewer-Apps und 55 Prozent der Android Organizer-Apps (iOS 28 Prozent) sind für den Unternehmenseinsatz ungeeignet, denn sie weisen gravierende Mängel auf, die Cyberkriminelle ausnutzen können. »So können Angreifer Passwörter oder PINs der Mitarbeiter ausspionieren und großen finanziellen Schaden anrichten«, sagt Dr. Jens Heider, Leiter des Testlabors Mobile Sicherheit am Fraunhofer SIT in Darmstadt. Da diese Apps häufig auch zur Ansicht von vertraulichen Dokumenten genutzt werden, wiegen diese Sicherheitslücken besonders schwer.

»Auffällig ist, dass viele Entwickler immer noch bewusst auf eine hohe Sicherheitsqualität verzichten«, sagt Dr. Jens Heider. Apple will das ungeschützte Übertragen von Daten unterbinden und hat daher die App Transport Security (ATS) eingeführt: Apps dürfen damit nur noch über das HTTPS-Protokoll kommunizieren. Doch viele Entwickler deaktivieren die Funktion momentan noch. Gerade einmal neun Prozent der kostenlosen Top 2000 iOS Apps haben ATS ohne Ausnahmen aktiviert.

Für ihre Analysen nutzten die Fraunhofer-Wissenschaftler das Testwerkzeug Appicaptor, das automatisiert große Mengen an Apps auf ihre Sicherheit und die Einhaltung der Datenschutzbestimmungen des jeweiligen Unternehmens untersucht. Unternehmen können Appicaptor als Lösung nutzen, um schnell und einfach bestehende als auch in der Entwicklungsphase befindliche Apps zu bewerten. Das vom Fraunhofer SIT entwickelte Testwerkzeug überprüft jede App auf verschiedene Standardkriterien und generiert eine entsprechende Gesamteinschätzung des Risikopotenziales der App.