Schlagwort-Archive: eBay

Mobile Apps bedürfen der gleichen Sicherheit wie Browser

Originalartikel von David Sancho, Senior Threat Researcher

Im Grunde genommen sind mobile Anwendungen “Browser in einer Box”. Für diese Behauptung spricht einiges: Öffnet der Anwender eine App, so ist die Wahrscheinlichkeit hoch, dass sie versucht, auf eine bestimmte Webseite zuzugreifen und die Ergebnisse in irgendeiner Art und Weise darstellt. Nicht nur Anwendungen wie Amazon oder eBay verhalten sich wie Browser (die solche Anfragen auf ihre eigenen Server einschränken), sondern auch Apps wie Flipboard, das „Soziale Nachrichtenmagazin“ für iPad und iPhone, greifen im Prinzip lediglich auf Facebook und Twitter zu, um die Ergebnisse auf eine sehr hübsche Weise darzustellen.

Macht dies Apps angreifbarer für Verhaltensweisen, die reguläre Browser von den Nutzern erwarten? Führt beispielsweise eine App eingeschränkte Anfragen an eine einzelne Site aus, so könnte doch ein Angreifer dieses Verhalten für die Kompromittierung der App oder Site missbrauchen.

Mithilfe einer Testumgebung, die den an- und ausgehenden Verkehr von mobilen Anwendungen – sowohl Android als auch iPhone/iPad – überwachte, wollte der Autor herausfinden, ob Apps tatsächlich wie Browser abzusichern sind. Die Suche nach ausnutzbaren Mechanismen oder Lücken war erfolgreich. Unter anderem gibt es ein Spiel, das immer wieder Kennwörter vergibt und ändert, um den Spielern den Zugang zu neuen Ressourcen zu öffnen. Diese Kennwörter aber werden als unverschlüsseltes http angefordert und gesendet. Einen Angriff auf die involvierten Server zu fingieren war ein Kinderspiel! Die klare Schlussfolgerung: unverschlüsselte, vorgefertigte http-Übertragungen sind nicht vertrauenswürdig. Auch weitere Probleme mit verschiedenen Anwendungen traten zutage: Eine App, die regelmäßig XML-Dateien mit Links zu Bildern und Audio-Dateien verschickt, tat dies ebenfalls in reinem Text über unverschlüsseltes http.

Die entdeckten Probleme waren jedoch so vielfältig, dass es schwierig wurde, dieses Projekt von jedem anderen Webanwendungs-Penetrationstest abzugrenzen. Das heißt, die Clients sind mobile Anwendungen, doch eigentlich bezogen sich die Nachforschungen auf den unsicheren Webcode eines Entwicklers.

Fazit: Die Anfangsthese stimmt: Alle mobilen Apps sind Webclients und daher genauso so unsicher wie ein Browser – und wie ein Browser müssen sie auch gesichert sein.

 

 

7-Jähriger kauft Kampfflugzeug im Wert von 113.515,00 Dollar

Originalartikel von Rik Ferguson (Senior Security Advisor bei Trend Micro)


Verwendet im Bereich Creative Commons
von Shandchems Flickr

In einem (überhaupt nicht) überraschenden Ausbruch kindlicher Logik hat ein siebenjähriger Junge beschlossen, dass er ein Kampfflugzeug braucht – und zwar sofort!

Laut einem Bericht der Fox Chicago News saß der siebenjährige britische Junge am Computer der Familie und schaute sich bei eBay um. Als er ein Bild des Senkrechtstarters Harrier T-Bird Aircraft XW269 und die verführerische „Jetzt kaufen“-Schaltfläche sah, konnte er der Versuchung einfach nicht widerstehen. Er klickte auf die Schaltfläche.

Der Vater des Jungen musste sich ganz schnell an den Verkäufer des generalüberholten Flugzeugs wenden und ihm erklären, dass es in der Nachbarschaft einfach nicht genügend Autos gab, die gewaschen werden mussten, um die 83 867,75 € zusammenzukratzen, die das Flugzeug kosten sollte. Und überhaupt war Weihnachten gerade erst vorbei!

Eine an sich ganz lustige Geschichte, aber es lässt sich eine Lektion daraus ziehen: Wenn Ihre Kinder den familieneigenen Computer nutzen dürfen, sollten sie dies unter einem extra für sie eingerichteten Profil tun, damit sie nicht das Geld von Mama oder Papa ausgeben können. Außerdem können Sie das Profil so konfigurieren, dass es ihrem Alter angemessen ist, sie also beispielsweise keine Programme installieren dürfen.

Es lässt sich auch trefflich darüber debattieren, ob ein Siebenjähriger überhaupt Zugriff auf eBay braucht. Hier kommt die Kindersicherung ins Spiel, um Websites nach Kategorie zu filtern und den Zugriff auf unangemessene Seiten zu sperren. Auch mein eigener Siebenjähriger (nein, ich schwöre, er war es nicht!) nutzt einen Computer zusammen mit anderen, und ich habe ihm versprochen, dass ich die Filter deaktiviere, sobald er eigenes Geld verdient. Bis dahin kann er schon mal auf sein eigenes Kampfflugzeug sparen.

Wenn Sie weitere Tipps benötigen, gibt es von Trend Micro ganz hervorragende allgemeine Tipps für Familien zum Thema Internet-Sicherheit und unsere Online-Bibliothek zur Internet-Sicherheit hier.