Appicaptor Security Index 2018
Testergebnisse für iOS und Android
Der Einsatz von Apps in Unternehmen erfordert einen kritischen Blick auf die Risiken. Im folgenden werden Ergebnisauszüge automatisierter Appicaptor Analysen für die Top 2.000 der kostenlosen iOS- und Android-Apps vorgestellt.
Anteil der geblacklisteten iOS Apps je Funktionsklasse. Die Balken pro beispielhaft ausgewählter Funktionsklasse zeigen den jeweiligen Anteil der drei Risikoklassen.
Appicaptor Security Index, September 2018
In der Beurteilung der Eignung für den Unternehmenseinsatz ist es nicht verwunderlich, dass Apps mit der Möglichkeit zur Verarbeitung von Unternehmensdaten sehr kritisch zu betrachten sind. Insbesondere die Funktionsklasse der File-Manager-Apps für iOS zeigt ein erhebliches Nutzungsrisiko mit 73%, die Appicaptor als ungeeignet für den Unternehmenseinsatz einstuft (siehe Abbildung). Unter Android ist dieser Wert mit 86% noch höher. Die Gründe für das Blacklisting in beiden Plattformen sind ein sehr hoher Anteil von IT-Sicherheitsschwächen und datenschutzrelevanter Risiken.
Der Bericht beschreibt neue Testergebnisse über die Sicherheitsmerkmale von Anwendungen mit der MultipeerConnectivity API von iOS. Diese API ermöglicht es Entwicklern, sehr einfach einen direkten Datenaustausch zwischen Geräten über drahtlose Kommunikation zu realisieren. Dies kann sowohl authentifiziert als auch verschlüsselt erfolgen, aber die entsprechenden Optionen müssen vom Entwickler verwendet werden.
Schlechte / Fehlende Kryptographie: Gefährdung von Unternehmensdaten bei der Peer-To-Peer-Übertragung durch fehlende Verschlüsselung und Authentifizierung. Hier dargestellt an der AirDroid für iOS (Version 1.0.3).
Hier zeigen die Appicaptor Analysen, dass 40% der iOS-Apps mit dieser Funktionalität die Übertragung weder verschlüsseln noch die Kommunikationspartner authentisieren. Wie am Beispiel der AirDroid iOS App (Version 1.0.3) dargestellt, kann ein Angreifer dadurch passiv die Übertragungen in der Umgebung mitlesen. Bei 20% der iOS-Apps mit dieser Funktionalität wird immerhin die Kommunikation verschlüsselt übertragen, jedoch ohne die Authentizität des Kommunikationspartner zu prüfen. Hier wäre dann immer noch ein aktiver Man-in-the-Middle-Angriff möglich.
Was ist der Appicaptor Security Index?
Die Experten des Fraunhofer SIT erstellen jährlich den Appicaptor Security Index, in dem sie Ergebnisse von Sicherheitsuntersuchungen der Top 2.000 kostenlosen iOS- und Android-Apps veröffentlichen.
Die von Fraunhofer SIT entwickelte Lösung Appicaptor scannt automatisch große Mengen von beliebigen iOS- und Android-Apps, untersucht sie auf IT-Sicherheit und bewertet, ob sie für den Unternehmens- oder Behördeneinsatz geeignet sind oder nicht. Dabei arbeitet Appicaptor wahlweise mit Standardregeln oder gibt Empfehlungen entsprechend den individuellen Sicherheitsvorgaben und -anforderungen. Die Tests können automatisch wöchentlich wiederholt werden, sodass auch Änderungen bei sehr häufig aktualisierten Apps stets berücksichtigt werden können.