Archiv der Kategorie: Datenschutz

Hybrid-Apps als Einfallstor für Angriffe auf Unternehmen

Oliver Küch, Presse- und Öffentlichkeitsarbeit des Fraunhofer-Institut für Sichere Informationstechnologie SIT, teilte am 6. Oktober mit:

Immer mehr Hybrid-Apps im Einsatz – diese bringen Risiken der Webtechnologie auf Unternehmens-Smartphones. Die Experten für mobile Sicherheit des Fraunhofer-Instituts für Sichere Informationstechnologie SIT zeigen die App-Testlösung „Appicaptor“ und neue Untersuchungsergebnisse zu App-Sicherheit vom 10. bis 12. Oktober auf der it-sa in Nürnberg (Halle 9 Stand 410).

Viele, auch seriöse, mobile Apps haben schwerwiegende Sicherheitslücken in der Programmierung, die Angreifer ausnutzen und somit große Schäden für Unternehmen anrichten können. Besonders anfällig für Angriffe sind Hybrid-Apps, die auf unterschiedlichen mobilen Betriebssystemen laufen. Das ist das Ergebnis des neuen Appicaptor Security Index des Fraunhofer SIT, der sich dieses Jahr besonders auf die Sicherheitsanalyse der Hybrid-Apps konzentriert.
Plattformübergreifende, also Hybrid-Apps, nutzen Webtechnologien wie HTML und JavaScript. Damit importieren sie auch die Sicherheitsnachteile dieser Technologien vom Browser in die Apps – wo sie ungleich gravierendere Schäden für Unternehmen anrichten können, da durch die App-Schnittstellen zum Betriebssystem auch weitere Unternehmensdaten und Sensoren aus dem Smartphone angreifbar werden. „Hybrid-Apps sind aufgrund des fehlenden Integritätsschutzes der Anwendungslogik für den Unternehmenseinsatz besonders kritisch zu sehen“, sagt Dr. Jens Heider, Leiter des Testlabors für mobile Sicherheit am Fraunhofer SIT. Allerdings sind diese Apps bei Entwicklern sehr beliebt, da eine Anwendung nur einmal programmiert werden muss und dann plattformübergreifend läuft, was Zeit und Kosten sparen soll. „Wir haben eine Zunahme an verwundbaren Hybrid-Apps in den unterschiedlichen App-Stores festgestellt“, sagt Jens Heider.
Darüber hinaus wird eine Untersuchung dieser Apps erschwert, da ein Mix aus JavaScript und nativem Code genutzt wird. „Gerade Schwächen von JavaScript-Code werden bei vielen App-Analysen häufig nicht ausreichend berücksichtigt.“, erklärt Jens Heider. Hier haben die Fraunhofer-Forscher ihre Analysemethoden erweitert und so angepasst, dass auch Hybrid-Apps automatisiert untersucht werden können.
Laut dem Appicaptor Security Index ist es zudem auffällig, dass Hybrid-App-Entwickler überwiegend auf die Nutzung bestehender Schutzmaßnahmen in ihren Apps verzichten und Bibliotheken mit bekannten Sicherheitslücken einsetzen – sei es aus Zeitdruck oder Unkenntnis.
Die Fraunhofer-Sicherheitsforscher haben jeweils die 2000 Top-Apps für die mobilen Betriebssysteme Android und iOS automatisiert untersucht. „Smartphone-Nutzer, die Apps mit einer schlechten Sicherheitsqualität nutzen, können über Schwachstellen dieser Apps Opfer von Angriffen Dritter werden, ohne explizite App-Malware installiert zu haben.“, erklärt Jens Heider. Dabei können Angreifer gravierende Schäden anrichten, je nachdem, über welche Berechtigungen die anfällige App verfügt: „Hat eine App etwa Zugriff auf Mikrofon und Dateisystem, kann eine seriöse Nachrichten-App zu einer Wanze umfunktioniert werden“. Unter Android kann ein Angreifer in diesem Fall auch unbemerkt Inhalte wie interne Fotos oder vertrauliche PDF-Dokumente aus dem (externen) Dateisystem auslesen und in einen Cloud-Speicher des Angreifers kopieren. Laut Appicaptor Security Index sind zudem mehr als 70 Prozent der Apps zur Verwaltung von Dokumenten und Dateien nicht sicher genug, um in Unternehmen eingesetzt zu werden. So sind beispielsweise übermittelte oder gespeicherte Daten nicht hinreichend gegen den unbefugten Zugriff durch Dritte geschützt.
Auf der it-sa zeigen die Fraunhofer-Wissenschaftler die App-Testlösung Appicaptor, mit der sie die Apps untersucht haben. Appicaptor scannt automatisch große Mengen von beliebigen iOS- und Android-Apps, untersucht sie auf IT-Sicherheit und Einhaltung von Datenschutzvorgaben und bewertet, ob sie für den Unternehmens- oder Behördeneinsatz geeignet sind oder nicht. Dabei arbeitet Appicaptor wahlweise mit Standardregeln oder gibt Empfehlungen entsprechend den individuellen Sicherheitsvorgaben und -anforderungen. Die Tests können automatisch wöchentlich wiederholt werden, sodass auch Änderungen bei sehr häufig aktualisierten Apps stets berücksichtigt werden können.
Das Fraunhofer SIT zeigt auf der it-sa außerdem Lösungen für mehr IT-Sicherheit in der digitalisierten Industrie sowie die „Volksverschlüsselung“, eine einfache Verschlüsselungshilfe für jedermann.

Weitere Informationen:
http://www.sit.fraunhofer.de/it-sa2017 Fraunhofer SIT-Auftritt auf der it-sa 2017
http://www.sit.fraunhofer.de/securityindex2017 Appicaptor Security Index 2017:
http://www.appicaptor.de mehr Informationen zu Appicaptor

Advertisements

Der Yahoo-Obama-Regime-Skandal

Aus dem Startmail Blog » Wie sich der Yahoo-Hack auch auf Sie auswirkt.

Im Jahr 2015 erlaubte Yahoo einer US-Regierungsbehörde ein Spionage-Tool auf seinem System zu installieren, damit Agenten heimlich eingehende E-Mails lesen konnten. So können Sie sich schützen.

Der Yahoo-Hack ist aus mehreren Gründen schockierend:
•    Die US-Regierung kann jede eingehende E-Mail von Yahoo- UND Nicht-Yahoo-Kunden lesen, unabhängig davon, ob sie eines Vergehens verdächtigt werden.
•    Das Spionage-Tool war eigentlich eher eine Schadsoftware, die nicht nur der Regierung, sondern auch Hackern ungehinderten Zugang zu den Benutzerkonten erlaubte.
•    Das wurde durch eine Yahoo-Sicherheitslücke aus dem Jahr 2014 offengelegt, die größte in der Geschichte. In diesem Fall stahl ein Hacker E-Mail-Adressen, Geburtsdaten, Sicherheitsfragen und sogar Passwörter. Mehr als 500 Millionen Kunden waren dem Risiko des Identitätsdiebstahls ausgesetzt.

Dabei ist der Yahoo-Skandal nur die Spitze des Eisbergs. Aus folgenden Gründen:

Jede US-amerikanische Organisation hat sich den staatlichen Überwachungsanforderungen in Übereinstimmung mit dem Patriot Act zu fügen – und darf per Gesetz kein Wort darüber verlieren, sonst drohen rechtliche Konsequenzen. Wenn Ihr E-Mail-Provider GMail, Outlook oder ein anderer US-basierter E-Mail-Service ist, dann ist es sehr wahrscheinlich, dass eine US-Regierungsbehörde auch Ihre E-Mails im Jahr 2015 gelesen hat, genauso wie E-Mails von Yahoo. Die US-Regierung könnte sogar gerade jetzt Ihre E-Mail-Nachrichten lesen, aber das werden Sie wahrscheinlich nie erfahren.

E-Mails lieber über sichere europäische Dienste wie StartMail versenden!

StartMail hat seinen Sitz den Niederlanden, außerhalb der US-Gerichtsbarkeit, und ist nicht von der US-Massenüberwachung betroffen. Außerdem ist Privatsphäre in den Niederlanden gesetzlich geschützt.

Wir berechnen einen fairen Marktpreis für unsere Leistungen. Das gibt uns die Garantie, dass wir tatsächlich nur für unsere Kunden arbeiten können. Wir müssen keine Rücksicht auf Werbekunden, Unternehmen oder Regierungsbehörden nehmen, da wir uns selbst finanzieren. Und weil wir diesen fairen Preis berechnen, können Sie langfristig auf uns zählen.

Testen Sie StartMail für 3 Monate kostenlos!

Wir bieten sichere private E-Mail-Accounts mit userfreundlichen Features wie One-Click-PGP-Verschlüsselung, sodass nur die Menschen, denen Sie schreiben, Ihre E-Mails lesen können. Aber nehmen Sie uns nicht einfach nur beim Wort:  Finden Sie es selbst heraus.

Es wird Sie sicher freuen, dass StartMail die US-Regierung und neugierige Werbetreibende von Ihrem Posteingang fernhält. Und um Ihnen den Deal zu versüßen, geben wir Ihnen für begrenzte Zeit einen 25%-Rabatt auf ein einjähriges StartMail-Abo (Sie erhalten also 3 Monate gratis). Ihre monatlichen Kosten für E-Mail-Privatsphäre und Ruhe machen damit nur noch rund € 3.- aus. Das ist weniger als Sie für eines dieser hippen Coffee-to-go-Getränke bezahlen.

Darüber hinaus legen wir noch 2 kostenlose einjährige Begleit-Konten drauf, die Sie Freunden oder Familienmitgliedern schenken können.

Melden Sie sich einfach bei StartMail.com an und geben Sie im Feld “Rabatt-Code verwenden” YAHOO ein. Die 25 % Rabatt werden sofort vom Kaufpreis abgezogen.

StartMail verwenden heißt, sich aktiv für mehr Privatsphäre einzusetzen!

Ans Herz gelegt: Browser-Erweiterungen für Datenschutz

Datenschutz ist ein Menschenrecht und muss gegen den Griff der Konzerne genauso verteidigt werden, wie gegen die dreisten Angriffe der Nachrichtendienste NSA, CGHQ, BND, …

Dein Webbrowser ist nicht Dein Freund: Er lässt zu, dass Dein Surf-Verhalten verfolgt wird, während Du Dich durchs Web bewegst, gibt oft persönliche Informationen über Dich preis und ist eine dauernde Wunde endloser Sicherheitsprobleme. Das schreiben die freien Vögel von riseup.net und ich kann nur empfehlen, sich diese Informationen und Tipps genau anzusehen. Das ist kein Zufall sondern Absicht. Entgegen aller markigen Werbesprüche sind Browser-Firmen die Wünsche der Werbeindustrie wichtiger als Deine Privatsphäre und Sicherheit.

So gab es Beispielsweise in den 90-iger Jahren eine riesige Debatte [1] über die Auswirkungen der Cookies von Drittanbietern auf die Privatsphäre. Folge war, dass die offizielle technische Spezifikation für Cookies verlangte [2], dass diese Form von „Überwachungs“-Cookies standardmäßig deaktiviert sein sollte. Was meinst Du, was daraus geworden ist? Fast alle Browser ignorierten diese Anforderung unter dem Druck der Werbe-Firmen [3]. 

2010: Nachdem ein*e Mozilla-Entwickler*in Cookies von Drittanbietern standardmäßig deaktivierte, wurden die Werbetreibenden verdammt wütend und wie es der Zufall so will, befahlen die Mozilla-Geschäftsführer*innen, dass die Änderung sofort rückgängig gemacht werde [4]. Nach diesem Vorfall brachten die Browserfirmen unauffällig einen neuen Cookie-Standard heraus, der es ihnen erlaubte, die Cookies von Drittanbietern standardmäßig zu aktivieren.

Das Cookie-Debakel ist nur eines von vielen Beispielen. Wenn eine der Browser-Firmen Deine Sicherheit und Privatsphäre respektieren würde, würden sie fremde http-Referrer, Flash, Java-Applets, und Cookies von Drittanbietern einfach abschalten. Google hat ein sehr gutes Team für Browser-Sicherheit, aber ihnen sind die Hände gebunden aufgrund politischer Firmenentscheidungen, mit denen Google die Werbeindustrie bei Laune hält.

Alles also ein Trauerspiel. Trotzdem kannst Du Deine Browser-Nutzung ein klein wenig besser und sicherer machen, indem Du Riseups nützlichen Anleitung zu wichtigen Browser-Erweiterungen folgst:

help.riseup.net/en/better-web-browsing

[1] Shah, R. C., & Kesan, J. P. (2009). Recipes for cookies: how institutions shape communication technologies. http://papers.ssrn.com/sol3/papers.cfm?abstract_id=565041

[2] https://tools.ietf.org/html/rfc2109

[3] Bruner, R. E. (1997, May). Advertisers win one in debate over “cookies”: Netscape move may settle sites concern over controversial targeting tool http://adage.com/article/news/advertisers-win-debate-cookies/405/

[4] Soghoian, C. (2010). Thoughts on Mozilla and Privacy. http://paranoia.dubfire.net/2010/12/thoughts-on-mozilla-and-privacy.html

 

Unsere Geräte laufen nicht allein durch Glückwünsche

Wir haben es versucht, aber wir können den Laden hier nicht nur durch guten Willen zusammenhalten. Stattdessen verwandeln wir Geld in Server und Elektrizität und Arbeit und Bandbreite. Zusammen halten diese Dinge unseren kleinen magischen Winkel des Internets aufrecht, in dem die Parole digitale Gerechtigkeit lautet und nicht Big Data.

Wenn Du denkst, es sei wichtig, dass es Alternativen wie Riseup gibt, dann nimm etwas Geld in die Hand und spende noch heute: https://riseup.net/de/spenden

In solidarity,

The Riseup Birds7