Mobile Apps bedürfen der gleichen Sicherheit wie Browser

Originalartikel von David Sancho, Senior Threat Researcher

Im Grunde genommen sind mobile Anwendungen “Browser in einer Box”. Für diese Behauptung spricht einiges: Öffnet der Anwender eine App, so ist die Wahrscheinlichkeit hoch, dass sie versucht, auf eine bestimmte Webseite zuzugreifen und die Ergebnisse in irgendeiner Art und Weise darstellt. Nicht nur Anwendungen wie Amazon oder eBay verhalten sich wie Browser (die solche Anfragen auf ihre eigenen Server einschränken), sondern auch Apps wie Flipboard, das „Soziale Nachrichtenmagazin“ für iPad und iPhone, greifen im Prinzip lediglich auf Facebook und Twitter zu, um die Ergebnisse auf eine sehr hübsche Weise darzustellen.

Macht dies Apps angreifbarer für Verhaltensweisen, die reguläre Browser von den Nutzern erwarten? Führt beispielsweise eine App eingeschränkte Anfragen an eine einzelne Site aus, so könnte doch ein Angreifer dieses Verhalten für die Kompromittierung der App oder Site missbrauchen.

Mithilfe einer Testumgebung, die den an- und ausgehenden Verkehr von mobilen Anwendungen – sowohl Android als auch iPhone/iPad – überwachte, wollte der Autor herausfinden, ob Apps tatsächlich wie Browser abzusichern sind. Die Suche nach ausnutzbaren Mechanismen oder Lücken war erfolgreich. Unter anderem gibt es ein Spiel, das immer wieder Kennwörter vergibt und ändert, um den Spielern den Zugang zu neuen Ressourcen zu öffnen. Diese Kennwörter aber werden als unverschlüsseltes http angefordert und gesendet. Einen Angriff auf die involvierten Server zu fingieren war ein Kinderspiel! Die klare Schlussfolgerung: unverschlüsselte, vorgefertigte http-Übertragungen sind nicht vertrauenswürdig. Auch weitere Probleme mit verschiedenen Anwendungen traten zutage: Eine App, die regelmäßig XML-Dateien mit Links zu Bildern und Audio-Dateien verschickt, tat dies ebenfalls in reinem Text über unverschlüsseltes http.

Die entdeckten Probleme waren jedoch so vielfältig, dass es schwierig wurde, dieses Projekt von jedem anderen Webanwendungs-Penetrationstest abzugrenzen. Das heißt, die Clients sind mobile Anwendungen, doch eigentlich bezogen sich die Nachforschungen auf den unsicheren Webcode eines Entwicklers.

Fazit: Die Anfangsthese stimmt: Alle mobilen Apps sind Webclients und daher genauso so unsicher wie ein Browser – und wie ein Browser müssen sie auch gesichert sein.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*