© prettyboy80/Shutterstock.com
Mobile Technology
Wie sicher sind Cross-Plattform-Apps?

Ist das denn überhaupt sicher?

Eine App, die auf mehreren völlig unterschiedlichen Systemen läuft, kann doch nicht sicher sein, oder? Zumindest ja wohl nicht so sicher wie eine native App, die alle Funktionen des Systems optimal nutzen kann.

Carsten Eilers


Oder sind Cross-Plattform-Apps vielleicht ganz besonders sicher, da sie ja auf Frameworks etc. angewiesen sind, die sich ganz nebenbei auch um die Sicherheitsprobleme kümmern? Oder liegt die Wahrheit irgendwo in der Mitte?

Sicherheitsforscher interessieren sich schon seit einiger Zeit für die Cross-Plattform-Entwicklung. Also muss es da ja irgendetwas zu entdecken geben, sonst hätten sie sich schon längst ergiebigere Forschungsgebiete vorgenommen. Ob die Cyberkriminellen sich zurzeit besonders für Cross-Plattform-Apps interessieren, ist nicht bekannt, zumindest verbreiten sie immer wieder trojanisierte Versionen eigentlich harmloser Apps [1]. Und da wäre es ja eigentlich naheliegend, Cross-Plattform-Apps zu manipulieren, um möglichst viele potenzielle Opfer zu erreichen. Dann schauen wir doch mal, was die Sicherheitsforscher zur Cross-Plattform-Entwicklung zu sagen haben.

Cross-Plattform-Apps – Traum oder Albtraum?

Auf der Black Hat Asia 2015 hielten Marco Grassi und Sebastian Guerrero einen Vortrag mit dem Titel „The Nightmare Behind the Cross Platform Mobile Apps Dream“ [2]. Sie haben die populärsten für die Cross-Plattform-Entwicklung verwendeten Frameworks unter Sicherheitsaspekten analysiert und dabei eine Reihe von Schwachstellen und Angriffspunkten gefunden.

Schon auf der Black Hat Asia 2014 hatte sich Simon Roses Femerling mit der Sicherheit von Cross-Plattform-Technologien beschäftigt. Sein Vortrag hatte den Titel „The Inner Workings of Mobile Cross-Platform Technologies“ [3]. Er hat zwar keine Albträume bekommen, aber trotzdem einige weniger schöne Entdeckungen gemacht.

In beiden Vorträgen ging es um die Beantwortung einiger wichtiger Fragen:

Wie gut ist die Codequalität der Frameworks? Entstehen durch ihre Verwendung Schwachstellen? Betreffen solche Schwachstellen alle Apps, die das gleiche Framework verwenden?Wie leicht kann ein Angreifer die Apps analysieren und manipulieren?

Die untersuchten Frameworks

Marco Grassi und Sebastian Guerrero sowie Simon Roses Femerling haben natürlich teilweise unterschiedliche Frameworks untersucht und hatten auch etwas unterschiedliche Herangehensweisen. Daher liegen nicht für alle Frameworks die gleichen Informationen vor. Aber für einen Überblick ist das ja auch nicht zwingend nötig.

Adobe AIR wird sowohl auf Mobilgeräten als auch auf dem Desktop eingesetzt; die Apps werden in Flash oder ActionScript entwickelt. In Adobe AIR wurden bereits sehr viele Schwachstellen behoben, die aber zum größten Teil auf den verwen...

Mobile Technology
Wie sicher sind Cross-Plattform-Apps?

Ist das denn überhaupt sicher?

Eine App, die auf mehreren völlig unterschiedlichen Systemen läuft, kann doch nicht sicher sein, oder? Zumindest ja wohl nicht so sicher wie eine native App, die alle Funktionen des Systems optimal nutzen kann.

Carsten Eilers


Oder sind Cross-Plattform-Apps vielleicht ganz besonders sicher, da sie ja auf Frameworks etc. angewiesen sind, die sich ganz nebenbei auch um die Sicherheitsprobleme kümmern? Oder liegt die Wahrheit irgendwo in der Mitte?

Sicherheitsforscher interessieren sich schon seit einiger Zeit für die Cross-Plattform-Entwicklung. Also muss es da ja irgendetwas zu entdecken geben, sonst hätten sie sich schon längst ergiebigere Forschungsgebiete vorgenommen. Ob die Cyberkriminellen sich zurzeit besonders für Cross-Plattform-Apps interessieren, ist nicht bekannt, zumindest verbreiten sie immer wieder trojanisierte Versionen eigentlich harmloser Apps [1]. Und da wäre es ja eigentlich naheliegend, Cross-Plattform-Apps zu manipulieren, um möglichst viele potenzielle Opfer zu erreichen. Dann schauen wir doch mal, was die Sicherheitsforscher zur Cross-Plattform-Entwicklung zu sagen haben.

Cross-Plattform-Apps – Traum oder Albtraum?

Auf der Black Hat Asia 2015 hielten Marco Grassi und Sebastian Guerrero einen Vortrag mit dem Titel „The Nightmare Behind the Cross Platform Mobile Apps Dream“ [2]. Sie haben die populärsten für die Cross-Plattform-Entwicklung verwendeten Frameworks unter Sicherheitsaspekten analysiert und dabei eine Reihe von Schwachstellen und Angriffspunkten gefunden.

Schon auf der Black Hat Asia 2014 hatte sich Simon Roses Femerling mit der Sicherheit von Cross-Plattform-Technologien beschäftigt. Sein Vortrag hatte den Titel „The Inner Workings of Mobile Cross-Platform Technologies“ [3]. Er hat zwar keine Albträume bekommen, aber trotzdem einige weniger schöne Entdeckungen gemacht.

In beiden Vorträgen ging es um die Beantwortung einiger wichtiger Fragen:

Wie gut ist die Codequalität der Frameworks? Entstehen durch ihre Verwendung Schwachstellen? Betreffen solche Schwachstellen alle Apps, die das gleiche Framework verwenden?Wie leicht kann ein Angreifer die Apps analysieren und manipulieren?

Die untersuchten Frameworks

Marco Grassi und Sebastian Guerrero sowie Simon Roses Femerling haben natürlich teilweise unterschiedliche Frameworks untersucht und hatten auch etwas unterschiedliche Herangehensweisen. Daher liegen nicht für alle Frameworks die gleichen Informationen vor. Aber für einen Überblick ist das ja auch nicht zwingend nötig.

Adobe AIR wird sowohl auf Mobilgeräten als auch auf dem Desktop eingesetzt; die Apps werden in Flash oder ActionScript entwickelt. In Adobe AIR wurden bereits sehr viele Schwachstellen behoben, die aber zum größten Teil auf den verwen...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang