Die Forscher des Fraunhofer SIT untersuchten erstmalig automatisiert die Sicherheitsqualität von mobilen Apps. Demnach weisen 81 Prozent der beliebtesten kostenlosen iOS-Apps und 86 Prozent der kostenlosen Top-2000-Android-Apps Sicherheitsmängel auf. Noch immer würden Inhalte wie HTML-Seiten und JavaScript-Code über unverschlüsselte HTTP-Verbindungen geladen. Solche Sicherheitslücken betreffen den Wissenschaftlern zufolge jedoch nicht nur Apps für den privaten Gebrauch, sondern auch die in Unternehmen häufig zur Anzeige vertraulicher Dokumente genutzten File-Viewer-Apps, wie beispielsweise PDF-Reader, sowie Organizer-Apps.
Tests ergaben, dass 73 Prozent der untersuchten File-Viewer-Apps und 55 Prozent der Organizer-Apps für Android (iOS: 28 Prozent) aufgrund schwerwiegender Sicherheitsmängel für den Einsatz in Unternehmen ungeeignet sind. Angreifer könnten Passwörter oder PINs der Mitarbeiter ausspionieren und großen finanziellen Schaden anrichten, sagt Jens Heider, Leiter des Testlabors Mobile Sicherheit am Fraunhofer SIT in Darmstadt.
Hohes Sicherheitsrisiko durch hybride Apps
Plattformübergreifende Apps – sogenannte hybride Apps –, die auf Android- und auf iOS-Betriebssystemen laufen, sind laut Fraunhofer SIT besonders anfällig. Auf der Nürnberger IT-Sicherheitsmesse „it-sa“ demonstrierten die Wissenschaftler, dass die Nutzer über Schwachstellen seriöser Apps Opfer von Angriffen werden können, ohne dass sich Malware auf ihrem Smartphone befindet. So konnten die Forscher bei verwundbaren Apps beispielsweise App-Funktionen missbrauchen und damit unautorisiert auf Kalenderinhalte zugreifen, Termine ändern oder diese löschen.
Der Bericht zum Testverfahren des Fraunhofer SIT sowie weitere Informationen zum Testwerkzeug Appicaptor stehen unter
www.sit.fraunhofer.de/de/securityindex2016 zur Verfügung.