»Appicaptor« entlarvt gefährliche Apps

Am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt haben Forscher eine Methode entwickelt, riskante Sicherheitslücken und Schadsoftware in Apps aufzuspüren.

Ob Spiele, Shoppingportale, Wetterdienste oder soziale Netzwerke – Apps sind vor allem auf Privatnutzer ausgerichtet. Doch auch für Unternehmen können sie gefährlich werden. Firmen können kaum verhindern, dass Mitarbeiter verschiedene Apps auf ihr Gerät laden – vor allem, wenn es sich um private Geräte handelt, die mit dem Firmennetz verbunden werden. Doch wie vertrauenswürdig sind die einzelnen Apps – haben sie Schadsoftware im Schlepptau? Wie steht es um die Sicherheit – werden wichtige Informationen unverschlüsselt übertragen? Wie sind Unternehmensdaten gespeichert – können fremde Personen darauf zugreifen, etwa wenn der Besitzer das Smartphone verliert?

Antworten auf diese Fragen liefert künftig das »Appicaptor-Testframework«, das Forscher am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt entwickelt haben. Dieses System erstellt für Firmen zu jeder App und zu jedem Betriebssystem einen individuellen Testbericht. »Unser Framework ›Appicaptor‹ umfasst verschiedene Analysemethoden und -Werkzeuge«, sagt Dr. Jens Heider, Abteilungsleiter »Testlab Mobile Security« am SIT. »Es kann sowohl Apps für Android- als auch für iOS-basierte Smartphones analysieren – es arbeitet also unabhängig von der Plattform. Zudem lässt es sich beliebig erweitern.«

Die Analyse läuft dabei automatisch. Findet »Appicaptor« eine Sicherheitslücke oder eine Schadsoftware, gibt es eine Warnung aus. Einmal gescannt und für sicher befunden heißt aber nicht, dass dies für alle Zeiten gilt. In bestimmten Abständen wiederholt die Software ihre Kontrolle daher – denn Apps werden regelmäßig verändert und überarbeitet. Mit Hilfe des »Appicaptors« können Firmen entweder eine Whitelist erstellen, also eine Liste mit unbedenklichen Apps, die Mitarbeiter auf den Smartphones nutzen können. Oder eine Blacklist, auf der sich diejenigen Apps befinden, die gefährlich sind und die die Mitarbeiter auf keinen Fall installieren dürfen.

»Beim Appicaptor handelt es sich nicht um eine Test-Software, sondern um ein flexibles Testsystem, in dem wir verschiedene Test-Werkzeuge kombinieren«, sagt Heider. Viel Entwicklungsarbeit haben die Wissenschaftler in die Verständlichkeit gesteckt: Anfangs lieferte »Appicaptor« Ergebnisse, die nur Informatiker verstehen. Mittlerweile gibt die Software allgemeinverständliche Warnungen aus, etwa: »Die App speichert Daten unverschlüsselt und birgt daher ein Sicherheitsrisiko«. Eine weitere Hürde, die die Forscher zu meistern hatten, lag in der Geschlossenheit der iOS-Systeme: Der Apple-Konzern hält sich bedeckt darüber, wie das System aufgebaut ist. Die Wissenschaftler mussten also selbst herausfinden, was unter der Haube steckt und welche Risiken der Plattform geprüft werden müssen.

Das Framework ist bereits im Betrieb – es wird ständig weiterentwickelt und an neue Betriebssysteme angepasst. Momentan testen und optimieren die Forscher es gemeinsam mit der Industrie. Die Testphase läuft noch bis zum Herbst dieses Jahres. Ein Ergebnis: Unternehmen wünschen sich oft firmenspezifische Testfälle. Weiterhin soll das System an firmeneigene App-Stores und Mobile-Device-Management-Systeme ange- bunden werden. Das SIT bietet »Appicaptor« deshalb ausschließlich als Dienstleistung an. Dennoch könnten die Ergebnisse auch privaten Nutzern zu Gute kommen: »Wir erwarten, dass das Niveau der Apps durch die zunehmende Kontrolle steigt und sie immer weniger Sicherheitslücken beinhalten.«