Seit einigen Jahren werden uns Apps ja als Stein der Weisen für iOS, macOS, Android, Windows etc. verkauft. Klein, sicher, billig und zentral in einem App-Store zu haben. Heute mal wieder kleine Infosplitter zum Thema Sicherheit von Apps.
Anzeige
Den Kaffee zum Morgen schon gehabt? Nicht dass sich jemand verschluckt und ich bin wieder schuld. Und noch was: Armageddon (eigentlich Harmagedon) steht eigentlich für den Ort der endzeitlichen Entscheidungsschlacht in der Offenbarung des Johannes. Ich dachte, es beschreibt das Ganze ganz schön.
Dass Apps nicht sicher sind und der tägliche Sicherheits-GAU schon zu meinem Geschäft als Blogger gehört, ist nichts neues. Trotzdem setzen Leute auf Apps zum Online-Banking ein. Und jedes Mobilgerät muss 30-40 dieser Teile installiert haben, sonst ist das alles Mist – so mein Eindruck. Die folgenden Abschnitte beziehen sich zwar weitgehend auf Android, aber für iOS (und Windows) würde ich meine Hand auch nichts ins Feuer legen.
Gefakte Uber Android-App mit Malware
Cyber-Kriminelle machen sich die Popularität diverser Apps zunutze und stellen gefälschte Apps mit Malware unter ähnlich klingenden Namen in die App-Stores. Der neueste Fall, der mir die Tage unter die Augen gekommen ist, betrifft eine Uber-App. Der Mitfahrdienst Uber ist anscheinend ja recht populär und man braucht eine App zum Buchen. Symantec hat dies zum Jahresanfang in seinem Blog aufgegriffen.
(Uber-Fake-App, Quelle: Symantec)
Anzeige
Die App scheint wohl auf russische Anwender zu zielen und greift Anmeldedaten des Geräts ab. Wer die Details lieber in Deutsch liest, findet hier einen entsprechenden Artikel.
Google kickt weitere 36 Malware-Apps aus dem Store
Zum Jahresanfang findet sich bei Bleeping Computer dieser Artikel, mit dem Hinweis, dass Google 36 'Sicherheits-Apps' aus dem Play Store rausgeworfen hat. Die versprechen einen Virenschutz für Android-Geräte, sind aber mit Malware versehen. Nach der Installation nervten die Apps mit Sicherheitsalarmen und versuchten über diverse Tricks eine Monetarisierung zu erreichen.
Fake Telegram-App aus Open Source-Code geschnitzt
Die Sicherheitsforscher von Symantec fanden kürzlich eine App mit dem Namen "Teligram [NEW VERSION UPDATED]" im Google Play Store. Die App basierte auf dem Open Source Telegram-Messenger-Quellcode. Der App-Name sah wie ein Tippfehler aus und suggerierte ein Update der offiziellen Telegram-Messenger-App. Nach der Installation war die Fake-App kaum vom Telegram-Messenger zu unterscheiden. Aber die App enthält Code, um Werbung zu schalten und daraus Werbeeinnahmen zu erzielen. Symantec hat den Fall hier dokumentiert. (via)
Datenschutz und Privatsphäre ausgehebelt
Zu den obigen Fällen kommen Berichte, dass die Privatsphäre, der Datenschutz und die Sicherheit der Apps häufig mangelhaft bis ungenügend ist. Ich habe es seinerzeit nicht gebracht. Anfang Dezember 2017 gab es diesen Artikel, der sich dem Thema widmet, dass Apps auch ohne GPS-Daten den Standort des Nutzers tracken können – auf das Tracking durch Google hatte ich im Blog-Beitrag Android-Smartphones: Zwangs-Standort-Tracking für Google hingewiesen.
Dass Apps immer wieder Tracker für Daten aufweisen, ist eigentlich schon seit Jahren bekannt. heise.de hat hier einen solchen Fall, der über 300 Apps für Android betraf, letztes Jahr behandelt. Trend Micro befasste sich im Dezember 2017 mit dem Thema, dass Apps die Privatsphäre des Benutzers aushebeln. teltarif bezieht sich hier auf einen Bericht des britischen Guardian, dass mehr als 75 % der Apps Tracker von Drittanbietern integriert haben (ganz lesenswert, da es nicht nur windige App-Entwickler, sondern z.B. auch eine französische Versicherungs-App betrifft).
Dass Dating-Apps wie Tinder oder OK Cupid schwere Datenschutz- und Sicherheitsmängel aufweisen, und vertrauliche Daten abgezogen werden, ist nur noch eine Fußnote – bei Interesse gibt es hier was zum Nachlesen. Auf den Wunsch von OK Cupid, bessere Namen für Nutzer zu vergeben, war ich im Artikel Dating-Plattform OkCupid und die 'Klarnamenpflicht' zum Jahreswechsel eingegangen.
App-Sicherheit unter aller Sau
Warum man kein Online-Banking mit Apps erledigen sollte, haben die Erlanger Sicherheitsforscher Vincent Haupert und Nicolas Schneider zwischen den Jahren auf dem 34C3-Kongress erläutert. heise.de hat in diesem Artikel die Erkenntnisse, wie die Sicherheitsforscher den Schutz Promon Shield mittels des Werkzeugs Nomorp aushebeln konnten, beleuchtet.
Aber Ende Dezember 2017 wurde ruchbar, dass 18 von 33 Notfall-Apps für Katastrophenfälle der US Homeland-Security schlicht und ergreifend große Sicherheitslücken aufweisen.
Trigger für den heutigen Artikel war aber der heise.de-Artikel hier, der auf eklatante Sicherheitslücken in Apps zur Steuerung von Industrie-Anlagen eingeht. Die beiden Sicherheitsforscher Alexander Bolshev von IOActive und Ivan Yushkevich von Embedi haben mobile Apps, die zur Industriesteuerung dienen, vorgenommen. In 34 untersuchten Apps wurden insgesamt 137 Schwachstellen und kritische Sicherheitslücken gefunden. Hier ist die Pressemitteilung zum Thema.
Gerade habe ich noch mit einem Kollegen in anderem Zusammenhang telefoniert, mit dem ich vor 28 Jahren in der Industrie Mess-, Überwachungs-, Regelungs- und Steuerungslösungen entwickelt habe. Irgendwie beschleicht mich das Gefühl, dass da jeglicher Sinn und Verstand abhanden gekommen sein muss. Hauptsache alles schön bunt und läuft auf einem Smartphone. Ich denke, auch 2018 werde ich über App-Probleme reichlich bloggen dürfen – denn App-Schwachstellen stehen mit Sicherheit im Fokus der Cyber-Kriminellen.
Ähnliche Artikel:
8 Android-Apps im Play Store mit Sockbot Malware gefunden
Über 800 Google Play Store-Apps mit Xavier-Malware verseucht
AdultSwine: Android-Apps für Kids mit Porno-Werbung
Android: LightOuts-Adware im Google Play Store
Keyboard-App ai.type sammelt Daten, diese sind geleakt
Fake WhatsApp-App aus dem Google Play Store
Anzeige
Wenn man sich Software im industriellen Umfeld ansieht, dann fällt eines sofort ins Auge:
Sie ist meistens alt – sehr, sehr alt.
Da wird sich noch auf serielle RS-232 Schnittstellen verlassen. Bloß wo findet man die heute noch. Also kommt in den Laptop des Servicetechnikers ein USB-Seriell-Konverter mit matschigen Fake-Chips und ebenso matschigen Treibern, die es dümmstenfalls für die eingesetzte Windows Version (noch) nicht gibt.
Installiert man Software zur Inbetriebnahme von Komponenten wie Umrichtern o.ä., dann wird man währenddessen in die Vergangenheit zurück katapultiert. Man sieht nämlich den MFC42 Installer von Windows 98. Sicheres Zeichen dafür, dass die Software noch immer mit VB bzw. Visual C# 5 oder 6 erstellt und nie aktualisiert wurde. Deswegen brauchen wir auch immer noch Windows XP Rechner (allerdings ohne Internetzugriff).
Und auf vielen der ach so schönen Industrie 4.0 oder auch Home Automation Gimmicks läuft ein seit 10 Jahren ungepatchter Kernel 2.6. Und eines ist sicher: einmal verkauft, besteht herstellerseitig kein gesteigertes Interesse an Updates oder Patches.
Zur Sicherheit industrieller Steuerungen braucht man seit Stuxnet auch kein Wort mehr zu verlieren.
Es bieten ja alle Banken App's für Android und Apple, natürlich nicht für Windows-Phone (Gott sei Dank) an, die ja sooooo sicher sein sollen.
Das ist ja zu den Ausführungen hier ein Wiederspruch, aber die Banken halten daran fest.
Bei den meisten Banken gibt es zum Beispiel App's für Android/Apple aber auch für Windows-Desktop. ZB. die Sparda-Bank hat auch eine App für Windows-Desktop ist aber keine Klassische App , denn sie ist ja nicht im MS-Store. Die Sparkasse hatt eine im Store usw..
Ich habe aber noch keine Test's zu den Banking-Apps gesehen, will sich keiner mit den Banken anlegen oder sollen die Leute nicht aufgeschreckt werden.
Ist doch heutzutage cool, alles mit dem Smartphone zu machen… nur weil man es kann… UND "mit einem Wisch ist alles weg" bekommt eine neue Bedeutung ;-)
Für mich macht es aus dem Blick der Sicherheit seit jeher keinen Sinn.
Auf dem normalen Desktop habe ich für Bank- und Geschäftsangelegenheiten einen separaten Browser mit entsprechend (weitestgehend sicheren) Profil eingerichtet, auf dem Smartphone wird nur, wenn es denn mal sein muss, "Unwichtiges" online getätigt.