Apple App Store, Google Play und Co.

Sicherheitsrisiko App-Stores

02.12.2012 (aktualisiert) | von Oliver Schonschek  (Autor) 
Oliver Schonschek
Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Email:
Aufmacherbild
Ob die Installation einer App ein Risiko darstellt oder nicht, hängt entscheidend von den Sicherheitsprozessen im jeweiligen App-Store ab. Wir haben verschiedene prominente App-Stores unter die Lupe genommen und auf ihre Sicherheitsmaßnahmen gecheckt. Die Ergebnisse überraschen.
Der Erfolg mobiler Apps für Smartphones und Tablets lässt nicht nur die Zahl der App-Angebote ständig steigen. Auch die App-Marktplätze bekommen Zuwachs. Ein aktuelles Beispiel ist der Amazon Appstore for Android. Es stellt sich damit insbesondere für Android-Nutzer die Frage, welche Stores genutzt werden sollten. Für die Entscheidung spielt auch die Sicherheit des Stores eine gewichtige Rolle. Nach wie vor gibt es deutliche Unterschiede, auf die die Anwender achten sollten.
Achtung: Ist ein App-Store nicht sicher, lohnt er sich weder für App-Anbieter noch für Konsumenten.
Achtung: Ist ein App-Store nicht sicher, lohnt er sich weder für App-Anbieter noch für Konsumenten.
Achtung: Ist ein App-Store nicht sicher, lohnt er sich weder für App-Anbieter noch für Konsumenten.
Foto: Google

Gefährliche Schwachstellen in App-Stores

App-Stores bieten die Möglichkeit, Apps unter Tablet- und Smartphone-Nutzern zu verbreiten. Stimmen die Sicherheitsprozesse im App-Store nicht, können aber nicht nur seriöse App-Entwickler, sondern auch Datenspione und Internetkriminelle davon Gebrauch machen.
Regelmäßig werden Apps mit Spamming-, Spyware- und Malware-Charakter in verschiedenen App-Stores entdeckt. Das zeigt, dass Schwachstellen im Sicherheitskonzept von App-Stores aktiv ausgenutzt werden.

ENISA-Empfehlung teils nicht umgesetzt

ENISA (European Network and Information Security Agency) hatte bereits im September 2011 eine Empfehlung für Sicherheitsmaßnahmen in App-Stores veröffentlicht. Dazu gehören aufseiten der App-Store-Betreiber insbesondere automatische beziehungsweise manuelle App-Reviews, ein System zur Ermittlung und Anzeige der App-Reputation sowie eine sichere Anmeldung für App-Entwickler.
Die folgende Untersuchung nutzt die ENISA-Empfehlung als Referenz. Dabei zeigt sich, dass verschiedene App-Stores die empfohlenen Sicherheitsmaßnahmen nicht durchgehend umgesetzt haben - mit möglichen kritischen Folgen für die App-Sicherheit.

Risiko 1: falsche Identität des App-Entwicklers

Wenn ein App-Store die Identität des App-Entwicklers nicht ausreichend überprüft, helfen Reputationskonzepte bei der Sicherheitsbewertung einer App wenig. Datendiebe können die Identität eines bekannten App-Entwicklers vortäuschen und in dessen Namen bösartige Apps über den unzureichend geschützten App-Marktplatz anbieten und verbreiten. Benutzerkonten für Entwickler garantieren zwar nicht ohne Weiteres die Echtheit der Identität, erschweren aber die Übernahme der Identität eines bereits registrierten Entwicklers.
Gut zu wissen: App-Anbieter registrieren sich bei Samsung Apps mit einem umfangreichen Profil und erhalten jeweils ein eigenes Benutzerkonto.
Gut zu wissen: App-Anbieter registrieren sich bei Samsung Apps mit einem umfangreichen Profil und erhalten jeweils ein eigenes Benutzerkonto.
Gut zu wissen: App-Anbieter registrieren sich bei Samsung Apps mit einem umfangreichen Profil und erhalten jeweils ein eigenes Benutzerkonto.
Foto: Oliver Schonschek
Um die Identität der Entwickler zu prüfen, verlangt Samsung Apps beispielsweise die Registrierung mit einem umfangreichen Profil und weist jedem App-Anbieter jeweils ein eigenes Benutzerkonto zu. Bei Google Play lassen sich Identitäten über die Zugangsdaten für das Google-Konto prüfen. Der App Store von Apple schließlich setzt für die Einreichung von Apps eine Apple-ID für den Entwickler voraus. Die erschwert die Übernahme eines legitimen Entwicklerkontos.
Abgesichert: Die Identität eines App-Entwicklers kann bei Google Play über die Zugangsdaten für das Google-Konto geprüft werden.
Abgesichert: Die Identität eines App-Entwicklers kann bei Google Play über die Zugangsdaten für das Google-Konto geprüft werden.
Abgesichert: Die Identität eines App-Entwicklers kann bei Google Play über die Zugangsdaten für das Google-Konto geprüft werden.
Foto: Oliver Schonschek
Doch nicht alle Stores legen hier Wert auf Sicherheit: Der App-Marktplatz Mobiload zum Beispiel ermöglicht das Einreichen von Apps zur Veröffentlichung ohne eigenes Benutzerkonto für den Entwickler. Da keine Authentifizierung des Entwicklers beim Hochladen der App vorgesehen ist, kann nicht ohne Weiteres festgestellt werden, ob eine neue App tatsächlich von einem bereits bekannten Entwickler stammt.
'Security-Newsletter' bestellen!

Kostenlose AppsGratis-Apps für Smartphones und Tablet-PCs
Holen Sie sich die kostenlosen TecChannel-Apps für iPhone, iPad, Android, bada und Windows 7 Slate. Oder nutzen Sie mobil.tecchannel.de für alle Geräte.



Links zum Artikel





Ihre Meinung zum Artikel
Benutzername:
Passwort: