Sicherheitslücken bei Android Dieses Tool hilft, unsichere Apps aufzuspüren

Wann haben Sie das letzte Mal eine neue App installiert? Allein im Google Play Store gibt es eine riesige Auswahl: aktuell stehen zirka drei Millionen unterschiedliche Android-Apps zur Auswahl. Deswegen sollte man beim Smartphone auf IT-Sicherheit nicht weniger Acht geben, als beim heimischen Desktop-PC oder Laptop. Eigentlich sollte das nicht umstritten sein. Doch gerade bei den App-Entwicklern scheinen die Sicherheitsbedenken nicht allzu groß, wie Informatiker der Columbia University (New York) jetzt wieder gezeigt haben. Sie haben das Tool "CRYLOGGER" entwickelt, mit dem sich unsichere Sicherheitspraktiken in Android-Apps aufspüren lassen.

Anders als viele andere Android-Sicherheitsapps führt Crylogger einen automatischen Funktionstest durch, anstatt lediglich den Quellcode der App zu analysieren. So werden viele Schwachstellen sichtbar. Um das zu verdeutlichen, ließen die Wissenschaftler den Crylogger insgesamt 1.780 beliebte Apps aus dem Google Play Store analysieren.

Ihr Ergebnis: Fast alle getesteten Android-Apps entsprechen nicht den aktuellen Sicherheitsstandards. So verwendeten zu 99 Prozent defekte Hash-Algorithmen, 99 Prozent einen unsicheren Zufallsgenerator für die Verschlüsselung oder 97 Prozent hatten eine unsichere Verschlüsselungsgröße. Zudem begnügten sich viele Android-Apps mit einfachen Passwortstandards, die sich leicht knacken ließen (27 Prozent).

Einfache Passwortstandards lassen sich besonders leicht knacken. Für Hacker ist dies ein leichtes Spiel. Für Nutzer ein Verlust. Bildrechte: images/Science Photo Libra

Die Forschung wirft ein neues Licht darauf, wie leicht es Hackern von Smartphone-Apps gemacht wird, grundlegende Sicherheitsregeln zu brechen. Besonders für die Android-User heißt das, sehr wachsam zu sein, denn nur selten lassen sich Sicherheitsrisiken im Play Store von außen erkennen. Gerade das Betriebssystem Android gilt im Vergleich zum Apple-Konkurrenten iOS in der öffentlichen Wahrnehmung als eher unsicher.

Anja Lehmann vom Lehrstuhl für Cybersecurity am Hasso-Plattner-Institut in Potsdam erklärt, warum das so ist: "Android ist eines der beiden dominierenden Betriebssysteme für Smartphones und liegt im Vergleich zu Apple in Ländern mit wachsenden Volkswirtschaften weit vorn." Durch diese Marktmacht lohne es sich für Cyber-Kriminelle meist eher, sich auf das Betriebssystem mit der höheren Reichweite zu konzentrieren. Dass iOS das weniger anfällige Betriebssystem für kryptografische Entwicklerfehler – und dadurch sicherer sei, glaubt sie jedoch nicht.

Apple kuratiert seine App-Inhalte in seinem AppStore jedoch stärker, als Google das mit seinem Play Store macht. Hier möchte man ganz bewusst diese Offenheit haben, findet wiederum Dirk Pawalszczyk vom Institut für Informatik und Forensik der Hochschule Mittweida und Leiter des dortigen Studiengangs Cybercrime und Cybersecurity.

"Denn bei Android liegt Hard- und Software meist nicht in einer Hand", sagt er. Jeder Smartphone-Hersteller kann auch hier auf Basis des Android-Betriebssystems einen eigenen Appstore anbieten, wie z. B. bei Samsung der Galaxy-Store oder die Huawei-AppGallery. Diese Offenheit werde hier allerdings zur Gefahr. Für Dirk Pawlaszczyk kommen diese Ergebnisse dennoch überraschend:

Bei der Programmierung einer App steht häufig die Bedienbarkeit im Mittelpunkt der Entwicklung – anders als bei vielen Desktop-Anwendungen komme für viele Softwarehersteller die Sicherheit erst an letzter, oder wenn dann erst an zweiter Stelle. Schließlich lasse sich mit Sicherheit viel weniger Geld verdienen, so Pawlaszczyk.

Ein Algorithmus sei immer nur so sicher, wie der jeweilige Schlüssel. Dirk Pawlaszczyk vergleicht das mit dem eigenen Zuhause. "Das Haus und die Wohnungstür können noch so perfekt, professionell oder modern ausgestattet sein – wenn man den Schlüssel verliert, kann man die Haustür trotzdem öffnen."

Das Problem liege deshalb vor allen Dingen an der Verschlüsselung: App-Entwickler nutzten die Schlüssel häufig ungesichert und speicherten sie offline und lokal auf dem Smartphone. Das sei vor allen Dingen auf Nachlässigkeit und Schlampigkeit der Entwickler zurückzuführen, so Pawlaszczyk. Hinzu komme, so IT-Expertin Anja Lehmann, dass viele Entwickler auf veraltete API-Bibliotheken (Programmierschnittstellen) zurückgriffen. Die Auswahl des geeigneten Algorithmus erfordere jedoch ein grundlegendes Verständnis von Kryptographie.

Dem pflichtet auch Dirk Pawalszczyk bei: "Während bei Entwicklern, die sich auf Kryptographie und Verschlüsselung spezialisiert haben, viele Verschlüsselungsregeln Standard sind, sind diejenigen, die Smartphone-Apps entwickeln, nicht unbedingt Spezialisten auf diesem Gebiet und können daher grundlegende Fehler machen." Deshalb plädiert er dafür, auch in der universitären Ausbildung mehr Zeit für IT-Sicherheit zu investieren

Für den User seien sichere Apps nicht immer einfach zu identifizieren. "Allgemein lässt sich jedoch sagen, dass Open-Source-Apps meist sicherer sind, da sie ihre Quellcodes nicht geheim halten", so Pawlaszczyk. Dort werden die Quellcodes auf entsprechenden Entwicklerplattformen, wie z. B. bei Github, offengelegt und Sicherheitsfehler lassen sich so schneller identifizieren. Der Crylogger kann dem Android-User hier erste Anhaltspunkte geben. Gleichzeitig betont jedoch Pawlaszczyk:

Die App Crylogger lässt sich hier auf Github herunterladen. Die dazugehörige Studie finden Sie hier. Die Forscher haben im Anschluss an ihre Überprüfung nach eigenen Angaben 300 Entwickler kontaktiert. Denn dort sehen sie den Hauptnutzen ihrer Software. Entwickler können sie nutzen, um kryptografische Missbräuche in ihren Apps sowie in den von ihnen verwendeten Bibliotheken von Drittanbietern zu finden. Allerdings gaben nur zehn Entwickler ein nützliches Feedback.

Die Arbeit der Forscher wurde unterstützt von der National Science Foundation, dem Unternehmen Bloomberg und der DARPA. Das ist die Defense Advanced Research Projects Agency, eine Behörde des US-Verteidigungsministeriums, die Forschungs-Projekte für die Streitkräfte der Vereinigten Staaten durchführt.

In einem Youtube-Video erklärt Luca Piccollboni die Funktionsweise der App.