Mobile Security

Mobile Apps ein Tummelplatz für Hacker

Mobile Apps ein Tummelplatz für Hacker
Arxan Technologies analysierte Angriffe auf Mobile Applikationen

Dass praktisch jedermann mittels eines Tools mobile Apps hacken kann, erläuterte aktuell der Sicherheitsexperte von Arxan Technologies, Mirko Brandner. Allerdings, so der  Experte, bestehen offensichtlich auch einfache Möglichkeiten, mobile Anwendungen wirksam zu schützen.

Es ist eine große Vielfalt von Apps, die entwickelt werden, um Kundenwünsche zu erfüllen und daneben auch neue Umsatzmöglichkeiten zu erschließen. Wie die Entwicklung zeigt, wollen sich auch Cyberkriminelle am Umsatz beteiligen. Damit sind Mobile Anwendungen immer mehr zum Tummelplatz für kriminelle Aktivitäten geworden.

Ziel der Begierde sind die gespeicherten Daten wie Kreditkarteninformationen, Finanztransaktionen oder sensiblen Unternehmensdaten. Diese sind oft leicht erreichbar, da die bestehenden Sicherheitsmaßnahmen keine Hürde für versierte Hacker darstellen.

Was macht das Hacken von mobilen Apps so einfach?

Dazu der Experte:

  • es geht schnell: Laut neuesten Untersuchungen dauert der eigentliche Angriff in 84 Prozent der Fälle höchstens ein paar Minuten.
  • es ist unkompliziert: Automatisierte Hacking-Tools stehen so gut wie jedem (!) zur Verfügung und können in der Regel kostenlos über das Internet heruntergeladen werden.
  • mobile Apps sind “leichte Beute”: Im Gegensatz zu Web-Applikationen laufen mobile Apps in verteilten, weitestgehend nicht kontrollierten und daher potentiell schädlichen Umgebungen von (manipulierten) Mobilgeräten. Ein ungeschützter Binärcode kann hier problemlos von Hackern analysiert und modifiziert werden.

Hacker nutzen Schachstellen im Binärcode zum Angriff

Wird eine Applikation ausgeführt, dann liest das Gerät einen Code, den Binärcode, indem sich die zwei Schwachstellen befinden.

Angriff mittels Code Modification auch Code Injection:

  • Bei dieser Art von Exploit nehmen Hacker unerlaubte Modifizierungen am App-Code vor oder legen einen schadhaften Code in der Applikation ab. Folgende drei Szenarien sind dabei möglich:
  • Ein Hacker oder unbefugter Anwender modifiziert den Binärcode einer App und verändert so sein Verhalten. Auf diese Weise können beispielsweise Sicherheitskontrollen außer Betrieb gesetzt, firmeninterne Vorschriften, Lizenzbeschränkungen, Einkaufsbedingungen oder Display-Werbung umgangen werden. Die modifizierten Apps können anschließend über das Internet verteilt werden.
  • Ein Hacker legt im Binärcode der Applikation einen schadhaften Code ab und bringt diese “umverpackte” App als neue (vermeintlich seriöse) Anwendung oder in Gestalt von Patches oder Crack-Apps in Umlauf oder installiert sie heimlich auf den Mobilgeräten ahnungsloser Nutzer.
  • Eine schadhafte Applikation attackiert im Rahmen eines Drive-by-Angriffs (auch Swizzling bzw. Function/ API Hoocking genannt) eine anvisierte App, um beispielsweise Berechtigungsnachweise freizulegen, persönliche Daten oder Unternehmensinformationen abzugreifen oder Datenverkehr umzuleiten.

Angriff mittels Reverse Engineering oder Code Analysis

  • Bei dieser Art von Exploit wird der Binärcode mobiler Applikationen statisch und dynamisch ausgewertet. Mit Hilfe spezieller Code-Analyse-Tools können die Binärcodes nachkonstruiert werden (Reverse Engineering), wertvolle Codes (inklusive Quellcodes), sensible Daten und geschützte IPs aus der App entnommen und anschließend wiederverwendet oder „umverpackt“ werden. Folgende drei Szenarien sind dabei möglich:
  • Ein Hacker analysiert einen Binärcode oder konstruiert diesen nach und späht auf diese Weise sensible Informationen (Keys, Berechtigungsnachweise, Daten und so fort), Sicherheitslücken und Schwachstellen für weitere Angriffe aus.
  • Ein Hacker legt das geheime geistige Eigentum einer Applikation frei, um illegale gefälschte Nachbauten zu entwickeln.
  • Ein Hacker “klaut” eine App und stellt diese (als nahezu identische Kopie der offiziellen App) unter seinem eigenen Markennamen in einem App-Store zur Verfügung.

Wirksamer App-Schutz ist geboten

Dazu mahnt der Experte an, dass es höchste Zeit ist, Applikation von innen heraus, das heißt bereits in ihrem Entwicklungsstadium zu schützen, anstatt sie im Nachhinein von außen mit mehr oder weniger wirksamen Schutzmaßnahmen zu umgeben. Wie in vorangegangenen Blogs beschrieben werden kleine Schutzeinheiten, sogenannte Guards, nach Abschluss des Entwicklungsprozesses in die ausführbare Software eingefügt, Änderungen am Source Code sind nicht notwendig.

Die Schutzeinheiten schützen sich auch gegenseitig und können nicht einfach wieder ausgebaut werden. Die App ist durch diese Härtung in der Lage, Hackerangriffe und Exploits selbstständig zu erkennen und abzuwehren und so letztlich ihre eigene Integrität zu schützen. Hacker finden also stark erschwerte Bedingungen vor und haben so gut wie keine Chance mehr, den Binärcode zu modifizieren oder Malware einzuschleusen.

Weiterführende Links:

Smartphone, Apps & Co.: die 20 wichtigsten Tipps für mobile Sicherheit

Vorsicht App: Die neun wichtigsten Tipps für mehr Kontrolle und Schutz der persönlichen Daten

Mobiles Banking wasserdicht: zehn Tipps zum Schutz vor Cyber-Betrügern

Mobiles Banking boomt – Das sind die Tricks der Cyber-Betrüger

Experten-Blog App-Härtung

Experten-Blog Laufzeitschutz

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
Mobile Security

Sicherheitsexperten warnen vor neuem Peak bei „Mobile Spyware“. Unternehmen sind gefordert, mehr in den Schutz mobiler Geräte zu investieren

Im Alltag vieler Unternehmen hat sich die Nutzung tragbarer web-fähiger Geräte etabliert. Das hat unweigerlich Cyber-Kriminelle auf den Plan gerufen, die speziell mit Hinblick auf diese Geräte und ihre vermehrte Nutzung zugeschnittene Schadprogramme entwickelt haben.

Mobile Security

Kryptowährungen im stationären Handel? Gamer in Deutschland sind dafür

In Deutschland nutzt beziehungsweise besitzt nur etwa jeder Siebte derzeit Kryptowährungen [1], wobei Gaming-Fans den Großteil der Nutzer bilden dürften. Das zeigt denn auch eine aktuelle, vom Sicherheitsanbieter Kaspersky in Auftrag gegebene  auf Gamer fokussierte Umfrage.

Mobile Security

Private Nutzer wie Unternehmen weiterhin stark von Mobile Malware bedroht

Eine speziell für Android-Mobiltelefone entwickelte Banking-Trojaner-Malware liegt laut Angaben eines weltweit agierenden Anbieters von Sicherheitslösungen an der Spitze der am häufigsten verbreiteten mobilen Malware und wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.

Mobile Security

Perfekt geklonte Apps schleusen versteckt Malware auf mobile Endgeräte ein

Auf vielen mobilen Geräten finden sich mittlerweile Apps in modifizierten Versionen. Solche Anwendungen können bei Nutzern damit punkten, dass sie Zusatzfunktionen und attraktive individuelle Anpassungen anbieten, mit reduzierten Preisen werben oder in Ländern verfügbar sind, in denen die Originalanwendung nicht angeboten wird.

Diese Themen könnten Sie auch interessieren!

X

Explosive Mischung: altbekannte Sicherheitslücken und neue (KI-)Technologie bescheren Cyber-Kriminellen hohe Erfolgsraten bei Linux-Malware-Infektionen

Ein Betriebssystem, das manche schon abgeschrieben hatten, erfreut sich immer größerer Beliebtheit in der IT-Welt:...
oben