Menü
Oberhessische Presse | Ihre Zeitung aus Oberhessen
Anmelden
Medien Gefährliche Sicherheitslücken bei vielen Apps
Mehr Welt Medien Gefährliche Sicherheitslücken bei vielen Apps
Partner im Redaktionsnetzwerk Deutschland
08:13 18.03.2015
Ein Smartphone-Nutzer hat im Schnitt 27 Apps installiert – viele davon lesen unbefugt Daten aus oder übermitteln sie unverschlüsselt an Dritte.
Ein Smartphone-Nutzer hat im Schnitt 27 Apps installiert – viele davon lesen unbefugt Daten aus oder übermitteln sie unverschlüsselt an Dritte. Quelle: Soeren Stache
Anzeige
Hannover

Peter hat seinen Betrüger selbst eingeladen. Denn bevor er sich ins Online-Banking-Portal seiner Bank einloggte, aktivierte er noch einen Ad-Blocker, ein Erweiterungsmodul des Browsers, um Werbebanner nicht mehr angezeigt zu bekommen. Ein Fehler, wie sich herausstellen sollte.
In der Realität würde Peter, der bei der Live-Hacking-Demonstration von IT-Sicherheitsberater Pascal Uter als fiktiver Nutzer fungiert, erst Wochen später bemerken, dass er auf Kriminelle hereingefallen ist. Bei Uters Vortrag auf der Cebit über die Schwachstellen von Apps, Computerprogrammen und Webseiten erfahren die Zuhörer sofort, was der Hacker in Peters Fall getan hat.

Denn der Ad-Blocker manipuliert nicht nur die Seite, indem er Werbung unterdrückt, er ist auch in der Lage, die Informationen auf der Webseite zu verändern. Als Peter beim Online-Banking die Liste seiner Transaktionen durchgeht, bekommt er den Hinweis, dass ein gewisser Udo Unauffällig versehentlich 285 Euro für das Leasen eines Autos auf sein Konto überwiesen hat. Gesetzlich ist Peter dazu verpflichtet, dieses Geld zurückzubuchen, da es ganz offensichtlich nicht für ihn bestimmt war. Nur: Die Transaktion von Udo an Peter hat es nie gegeben, obwohl sie in Peters Online-Banking-Programm auftaucht.

Je mehr soziales und ökonomisches Leben digital vernetzt werden, desto vielfältiger werden die Möglichkeiten für Cyberkriminelle. Viele beliebte Apps, Webseiten und Softwarelösungen haben Schadstellen, und mit jeder Weiterentwicklung können neue Einfallstore entstehen. Und selbst wenn der Nutzer aktiv keine problematischen Einstellungen vornimmt, können seine Daten ungehindert in die Hände von Dritten gelangen. Wolf Aschemann und Max Schild vom Mobile-Security-Unternehmen mediaTest digital stellten auf der Cebit beliebte Apps vor, die ungefragt Nutzerdaten verschicken – oder deren Datenschutzmechanismen leicht zu umgehen sind.

Virenscanner auf dem Smartphone?

Viele große Unternehmen beschäftigen Hacker, die in sogenannten Penetrationstests die Schwachstellen von Apps herausfinden sollen. Doch nicht jede Lücke in der Programmierung kann gefunden und geschlossen werden. Selbst Virenschutzprogramme bieten keinen umfassenden Schutz vor Cyberattacken. Auf dem Smartphone sind sie sogar weitgehend wirkungslos. Denn auf Mobilgeräten ist der Virenscanner nur eine App unter vielen und hat nicht – wie auf dem PC – die Möglichkeit, Programme zu beeinflussen. Deshalb kann eine mobile Antivirensoftware nur warnen, sollte sie eine potenziell schädliche App erkennen. Unter Quarantäne kann sie die gefährliche Anwendung aber nicht stellen.
Oliver Schranz und Philipp von Styp-Rekowsky von der Saarland Universität haben deshalb Boxify entwickelt, eine App, die im Laufe des Jahres kostenlos auf den Markt kommen soll. In ihr können Apps installiert und ausgeführt werden – ohne dass diese je Zugriff auf gespeicherte Daten bekommen können.

Beispiele für Apps, die Daten unverschlüsselt an Werbe- und Analysenetzwerke versenden, sind zum Beispiel wetter.de und die mobile Version von Weight Watchers. Aber auch die Apple-Version der App des Deutschen Fußballbunds (DFB) ist hochriskant. Ein Fehler in der Programmierung sorgt dafür, dass alle Anmeldedaten inklusive des Passworts unverschlüsselt an den Anbieter übertragen werden. Wer für diese App dasselbe Passwort wie für andere Anwendungen nutzt, sollte ein neues, unverbrauchtes Codewort einrichten.

 
Es ist nicht überraschend, dass auch der populäre Messenger-Dienst WhatsApp auf der Liste der IT-Sicherheitsexperten steht. Vor einiger Zeit machte die App Schlagzeilen, weil es möglich war, Chats von fremden Personen mitzulesen. An dieser Stelle haben die Entwickler nachgebessert, doch eine Schwachstelle ist geblieben. Mit dem Programm „WhatsSpy“, das ein niederländischer IT-Fachmann programmiert hat, können Daten wie Zeitpunkt des letzten Log-Ins, Status, Profilfotos und Privatsphäre-Einstellungen ausgelesen werden – die Telefonnummer des Opfers genügt, um ein Profil zu erstellen.

Was man dagegen tun kann? „Im Prinzip hilft nur Löschen und auf sicherere Alternativen umsteigen“, sagt Mobil-Experte Max Schild. „Bei WhatsApp sorgt allerdings der soziale Druck dafür, dass man das Risiko in Kauf nimmt, um Kontakte nicht zu verlieren.“
Die Schwachstellen in der Programmierung von Apps sind die eine Seite des Problems. Zur anderen Seite gehören die Bequemlichkeit und die Unkenntnis von Nutzern, wie das Beispiel von Peter zeigt. Sie bieten Cyberkriminellen meist das größte Einfallstor.

Von Isabel Christian

Medien Super Mario und Zelda - Nintendo will aufs Smartphone
17.03.2015
17.03.2015