Schlagwort-Archive: Browser

Mobile Apps bedürfen der gleichen Sicherheit wie Browser

Originalartikel von David Sancho, Senior Threat Researcher

Im Grunde genommen sind mobile Anwendungen “Browser in einer Box”. Für diese Behauptung spricht einiges: Öffnet der Anwender eine App, so ist die Wahrscheinlichkeit hoch, dass sie versucht, auf eine bestimmte Webseite zuzugreifen und die Ergebnisse in irgendeiner Art und Weise darstellt. Nicht nur Anwendungen wie Amazon oder eBay verhalten sich wie Browser (die solche Anfragen auf ihre eigenen Server einschränken), sondern auch Apps wie Flipboard, das „Soziale Nachrichtenmagazin“ für iPad und iPhone, greifen im Prinzip lediglich auf Facebook und Twitter zu, um die Ergebnisse auf eine sehr hübsche Weise darzustellen.

Macht dies Apps angreifbarer für Verhaltensweisen, die reguläre Browser von den Nutzern erwarten? Führt beispielsweise eine App eingeschränkte Anfragen an eine einzelne Site aus, so könnte doch ein Angreifer dieses Verhalten für die Kompromittierung der App oder Site missbrauchen.

Mithilfe einer Testumgebung, die den an- und ausgehenden Verkehr von mobilen Anwendungen – sowohl Android als auch iPhone/iPad – überwachte, wollte der Autor herausfinden, ob Apps tatsächlich wie Browser abzusichern sind. Die Suche nach ausnutzbaren Mechanismen oder Lücken war erfolgreich. Unter anderem gibt es ein Spiel, das immer wieder Kennwörter vergibt und ändert, um den Spielern den Zugang zu neuen Ressourcen zu öffnen. Diese Kennwörter aber werden als unverschlüsseltes http angefordert und gesendet. Einen Angriff auf die involvierten Server zu fingieren war ein Kinderspiel! Die klare Schlussfolgerung: unverschlüsselte, vorgefertigte http-Übertragungen sind nicht vertrauenswürdig. Auch weitere Probleme mit verschiedenen Anwendungen traten zutage: Eine App, die regelmäßig XML-Dateien mit Links zu Bildern und Audio-Dateien verschickt, tat dies ebenfalls in reinem Text über unverschlüsseltes http.

Die entdeckten Probleme waren jedoch so vielfältig, dass es schwierig wurde, dieses Projekt von jedem anderen Webanwendungs-Penetrationstest abzugrenzen. Das heißt, die Clients sind mobile Anwendungen, doch eigentlich bezogen sich die Nachforschungen auf den unsicheren Webcode eines Entwicklers.

Fazit: Die Anfangsthese stimmt: Alle mobilen Apps sind Webclients und daher genauso so unsicher wie ein Browser – und wie ein Browser müssen sie auch gesichert sein.

 

 

Browser sichern mit aktuellen Patches

Originalartikel von Ria Rivera (Technical Communications bei Trend Micro)

Während die Browser-Hersteller auf der einen Seite um Marktanteile kämpfen, haben sie auf der anderen Seite Probleme, ihre Nutzer vor den zunehmenden Gefahren zu schützen. In einigen der populärsten Browser wurden kürzlich ernste Sicherheitslücken entdeckt. An erster Stelle stand hierbei der Internet Explorer (IE), in dem Microsoft allein im März zwei Schwachstellen schließen musste.

Auch der Firefox geriet in die Schlagzeilen mit einer eigenen Sicherheitslücke, die ernst genug war, um das BSI mit einer Warnung vor der Nutzung des Firefox auf den Plan zu rufen (Die Lücke wurde mittlerweile über ein vorgezogenes Update auf Firefox 3.6.2 von Mozilla geschlossen).

Andere Browser wie Opera und Safari hatten ebenfalls mit eigenen Fehlern zu kämpfen. Beide haben jedoch die Schwachstellen bereits gestopft. Der bekannte Sicherheitsexperte Charlie Miller warnte jedoch, er habe noch mehr Safari Zero-Day-Fehler zu veröffentlichen – schlechte Neuigkeiten, nicht nur für Apple sondern auch für Google Chrome, denn der Browser nutzt dieselbe WebKit Rendering Engine wie Safari.

Der Trend Micro Sicherheitsanalyst Rafiv Motwani erklärte: „Unabhängig von den erwähnten Lücken können wir nicht im entferntesten abschätzen, wie viele Schwachstellen derzeit ausgenützt werden. Man darf auch nicht vergessen, dass eine Vielzahl von Nutzern ihre Systeme nicht patcht.“ Er fügt hinzu, es gebe verschiedene Gründe dafür, warum Nutzer ihre Systeme nicht aktualisieren. Dazu gehöre das fehlende zentrale und automatische Update-System, ein herstellerunabhängiger Patch-Release-Zyklus und die Auffassung, dass eine traditionelle Antivirus-Software gegen alle Arten von Gefahren schützt. Schließlich mache die Verbreitung von Malware, die sich als Software-Patch ausgibt, die Dinge noch komplizierten, indem sie Zweifel und Verunsicherung bei den Nutzern aufkommen lässt.

Maßnahmen, wie die von der EU verordnete Browser-Abstimmung , die zu einer breiteren Browser-Auswahl führen soll, mag Nutzer dabei unterstützen, die Schwachpunkte in bestimmten Programmen zu erkennen. Doch Motwani betont, dass es praxisfern sei anzunehmen, dass Nutzer bei jeder neu entdeckten Schwachstellen den Browser wechseln. Unternehmensanwender müssten zusätzlich die Performance-Auswirkungen, Stabilität und Kompatibilität testen, bevor sei Patches ausrollen. Deshalb empfiehlt Motwani, statt Browser-Wechsel stets aktuelle Sicherheitsprodukte (siehe auch „Den ‚sichersten‘ Browser gibt es nicht“) einzusetzen und zu gewährleisten, dass die Definition immer auf dem neuesten Stand sind. Darüber hinaus sei es auch von entscheidender Bedeutung, Links, Dateien und herunter ladbare Daten von Social-Networking-Sites oder aus unbekannten Quellen mit Vorsicht zu behandeln. Weitere nützliche Maßnahmen sind die Deaktivierung von Scripting oder zumindest die Benutzung von Scripts zu regeln und auf vertrauenswürdige Sites zu beschränken.

Den „sichersten“ Browser gibt es nicht

Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)

In letzter Zeit wurde ich mehrfach um meine Meinung zur Frage gebeten, welches der sicherste Browser sei. Vermutlich ist dies eine Reaktion auf Microsofts Update der Umfrage „Browser Choice“, über die auch der Nachrichtendienst The Register berichtet hatte. Meiner Meinung nach führt diese Fragestellung, bei der Anwender unter 12 Browsern wählen sollen, in die Irre. Denn ein Browser wird einem Nutzer nie Sicherheit geben, unabhängig davon, von welchem Hersteller er stammt. Anwender müssen eigene Schritte unternehmen, um ihre Sicherheit gewährleisten zu können.

Quelle: J. Anderson

Dieses Update zwingt Millionen Nutzer dazu, eine Wahl zu treffen, die sie überfordert. Es stehen nämlich neben Internet Explorer (sic!), Mozilla Firefox, Safari, Opera und Google Chrome noch weitere sieben Browser über das Microsoft Pop-up zur Auswahl.

Zu Recht richten heutzutage viele Anwender ihre Aufmerksamkeit in erster Linie auf die Sicherheit, wenn sie online browsen. Doch ist die Frage nach dem sichersten Browser falsch. Jedes Produkt hat seine Schwachstellen, Fehler und Patches. Aber die Angriffe richten sich mehr und mehr nicht nur auf die Browser sondern auch auf die Anwendungs-Plugins wie QuickTime, Flash oder Acrobat – und die lassen sich in unterschiedlichen Varianten der Browser einsetzen. Außerdem gibt es viele Attacken auf Einzelne, unabhängig vom eingesetzten Browser (etwa Phishing oder andere Social Engineering-Angriffe).

Deshalb ist die wichtigere Frage: „Wie kann ich meinen Browser am besten sichern?“ Trend Micro bietet kostenlose Werkzeuge wie Browser Guard und das Web Protection Add On für den Internet Explorer. Browser Guard entdeckt und blockiert weit verbreitete Exploit-Techniken (wie Heap Spray und Buffer Overflow oder sucht nach Shell-code). Damit bietet das Tool einen proaktiven Schutz vor unbekannten Gefahren. Das Web Protection Add-On blockiert bekannte bösartige Sites. Zudem gibt es eine ganze Reihe weiterer Tools und Plugins für viele andere Browser, etwa AdBlock Plus oder NoScript für Firefox.

Die verschiedenen Sicherheitswerkzeuge oder Techniken erfordern auch unterschiedliche technische Kenntnisse über die Browser oder auch über die Gefahren im allgemeinen, um eine effiziente Sicherheit im Internet für sich zu erreichen. Als hilfreich erweisen sich auch unabhängige Tests. Die beste Empfehlung in den meisten Fällen ist, bei dem Browser zu bleiben, den der Nutzer am besten kennt, und diesen entsprechend zu sichern.