Apple App Store, Google Play und Co.

Sicherheitsrisiko App-Stores

12.09.2012 von Oliver Schonschek
Ob die Installation einer App ein Risiko darstellt oder nicht, hängt entscheidend von den Sicherheitsprozessen im jeweiligen App-Store ab. Wir haben verschieden prominente App-Stores unter die Lupe genommen und auf ihre Sicherheitsmaßnahmen überprüft.

Der Erfolg mobiler Apps für Smartphones und Tablets lässt nicht nur die Zahl der App-Angebote ständig steigen. Auch die App-Marktplätze bekommen Zuwachs. Ein aktuelles Beispiel ist der Amazon Appstore for Android. Es stellt sich damit insbesondere für Android-Nutzer die Frage, welche Stores genutzt werden sollten. Für die Entscheidung spielt auch die Sicherheit des Stores eine gewichtige Rolle. Nach wie vor gibt es deutliche Unterschiede, auf die die Anwender achten sollten.

Achtung: Ist ein App-Store nicht sicher, lohnt er sich weder für App-Anbieter noch für Konsumenten.
Foto: Google

Gefährliche Schwachstellen in App-Stores

App-Stores bieten die Möglichkeit, Apps unter Tablet- und Smartphone-Nutzern zu verbreiten. Stimmen die Sicherheitsprozesse im App-Store nicht, können aber nicht nur seriöse App-Entwickler, sondern auch Datenspione und Internetkriminelle davon Gebrauch machen.

Regelmäßig werden Apps mit Spamming-, Spyware- und Malware-Charakter in verschiedenen App-Stores entdeckt. Das zeigt, dass Schwachstellen im Sicherheitskonzept von App-Stores aktiv ausgenutzt werden.

ENISA-Empfehlung teils nicht umgesetzt

ENISA (European Network and Information Security Agency) hatte bereits im September 2011 eine Empfehlung für Sicherheitsmaßnahmen in App-Stores veröffentlicht. Dazu gehören auf Seiten der App-Store-Betreiber insbesondere automatische bzw. manuelle App-Reviews, ein System zur Ermittlung und Anzeige der App-Reputation und eine sichere Anmeldung für App-Entwickler.

Die folgende Untersuchung nutzt die ENISA-Empfehlung als Referenz. Dabei zeigt sich, dass verschiedene App-Stores die empfohlenen Sicherheitsmaßnahmen nicht durchgehend umgesetzt haben - mit möglichen, kritischen Folgen für die App-Sicherheit.

1. Risiko: Falsche Identität des App-Entwicklers

Gut zu wissen: App-Anbieter registrieren sich bei Samsung Apps mit einem umfangreichen Profil und erhalten jeweils ein eigenes Benutzerkonto.
Foto: Oliver Schonschek

Wenn ein App-Store die Identität des App-Entwicklers nicht ausreichend überprüft, helfen Reputation-Konzepte bei der Sicherheitsbewertung einer App wenig. Datendiebe können die Identität eines bekannten App-Entwicklers vortäuschen und in dessen Namen bösartige Apps über den unzureichend geschützten App-Marktplatz anbieten und verbreiten. Benutzerkonten für Entwickler garantieren zwar ohne weiteres nicht die Echtheit der Identität, erschweren aber die Übernahme der Identität eines bereits registrierten Entwicklers.

Um die Identität der Entwickler zu prüfen, verlangt Samsung Apps beispielsweise die Registrierung mit einem umfangreichen Profil und weist jedem App-Anbieter jeweils ein eigenes Benutzerkonto zu. Bei Google Play lassen sich Identitäten über die Zugangsdaten für das Google-Konto prüfen. Der App Store von Apple schließlich setzt für die Einreichung von Apps eine Apple ID für den Entwickler voraus. Die erschwert die Übernahme eines legitimen Entwicklerkontos.

Abgesichert: Die Identität eines App-Entwicklers kann bei Google Play über die Zugangsdaten für das Google-Konto geprüft werden.
Foto: Oliver Schonschek

Doch nicht alle Stores legen hier Wert auf Sicherheit: Der App-Marktplatz Mobiload zum Beispiel ermöglicht das Einreichen von Apps zur Veröffentlichung ohne eigenes Benutzerkonto für den Entwickler. Da keine Authentifizierung des Entwicklers beim Hochladen der App vorgesehen ist, kann nicht ohne weiteres festgestellt werden, ob eine neue App tatsächlich von einem bereits bekannten Entwickler stammt.

2. Risiko: Unsichere Anmeldung des App-Entwicklers

Sicherheitszugang: Die Anmeldung der Entwickler im App Hub (Windows Phone Apps) erfolgt verschlüsselt, um ein Abhören der Zugangsdaten zu verhindern.
Foto: Oliver Schonschek

Benutzeranmeldungen im Internet sollten nur verschlüsselt erfolgen. Das gilt auch für App-Stores. Unverschlüsselte Anmeldungen eines seriösen App-Anbieters könnten sonst das Abfangen der Zugangsdaten ermöglichen. Ursprünglich sichere Apps könnten dann manipuliert, gefährliche Apps als Update angeboten werden - alles im Namen und über das Konto eines seriösen App-Entwicklers.

Die Anmeldung der Entwickler im App Hub (Windows Phone Apps) erfolgt verschlüsselt, um ein Abhören der Zugangsdaten zu verhindern. Entwickler im App Store von BlackBerry (BlackBerry App World) benötigen zur Anmeldung eine BlackBerry ID. Die Anmeldung erfolgt ebenfalls verschlüsselt. Die Verschlüsselung der Anmeldeseite für die Entwicklerkonten von Soc.io Mall erfolgt hingegen nur teilweise. Samsung und Opera verzichten sogar ganz auf Verschlüsselung - die Anmeldung als Entwickler oder Anbieter bei Samsung Apps ist unverschlüsselt möglich, genauso die Anmeldung als Entwickler im App-Store von Opera.

3. Risiko: Manipulierte App-Bewertungen

Gegencheck: Anonyme, nicht nachvollziehbare Bewertungen werden im App Store von Apple dadurch vermieden, dass sich der Nutzer zuerst mit seiner Apple ID anmelden muss.
Foto: Oliver Schonschek

Auch wenn die Zugänge, die die Nutzer zur Bewertung einer App verwenden, unzureichend geschützt sind, kann die App-Sicherheit ausgehöhlt werden. Während die App-Reputation- wie in der ENISA-Empfehlung ausgeführt - ein gewisser Anhaltspunkt bei der Sicherheitsbewertung einer App sein kann, verliert dieser Mechanismus jede Aussagekraft, wenn sämtliche, scheinbar positiven Bewertungen ohne weiteres vom Datendieb selbst stammen können.

Anonyme, nicht nachvollziehbare Bewertungen werden im App Store von Apple dadurch vermieden, dass sich der Nutzer zuerst mit seiner Apple ID anmelden muss. Auch Google Play fordert eine Anmeldung für Erfahrungsberichte über Apps. Dies erschwert das Erzeugen gefälschter Bewertungen und erhöht den Wert einer guten App-Reputation. Bei Mobiload kann ein Rating für Apps hingegen ohne jede Anmeldung vergeben werden. : Gleiches gilt für den App Store von Opera.

Keine anonyme Bewertung: Der App Store von Amazon nutzt das von Amazon bekannte Verfahren für Bewertungen, setzt dafür also ein Benutzerkonto voraus.
Foto: Oliver Schonschek

Während Ratings auch bei SlideME ohne Anmeldung anonym möglich sind, setzen Kommentare hier eine Anmeldung voraus. Ratings haben hier also eine geringere Aussagekraft als bei Marktplätzen, die die Vergabe von "Sternen" nur angemeldeten Nutzern erlauben.

Der App Store von Amazon nutzt das von Amazon bekannte Verfahren für Bewertungen, setzt dafür also ein Benutzerkonto voraus. Auch bei Samsung Apps und im App Store von Nokia ist eine App-Bewertung ohne Anmeldung nicht möglich.

4. Risiko: Unzureichende App-Reviews

Fehlende Kontrolle: Der App-Marktplatz OpenAppMkt sieht in der Beschreibung des Registrierungsprozesses für neue Apps kein internes Review vor.
Foto: Oliver Schonschek

Selbst umfangreiche Reviews können die App-Sicherheit nicht garantieren, wie zum Beispiel schadhafte Apps in Google Play auch nach der Einführung von Bouncer zeigen. Fehlen die Reviews jedoch, oder werden Sicherheitsfragen bei den App-Reviews außer Acht gelassen, können sich schädliche Apps wesentlich leichter in einen App-Store einschleichen, ohne frühzeitig aufzufallen.

Sicheres Attest: Bei AndroidPIT kann man einen kostenpflichtigen App-Test freiwillig anfordern.
Foto: Oliver Schonschek

Der App-Marktplatz OpenAppMkt beispielsweise sieht in der Beschreibung des Registrierungsprozesses für neue Apps kein internes Review vor. Bei AndroidPIT kann man hingegen einen kostenpflichtigen App-Test freiwillig anfordern. Microsoft legt gar ein besonders großes Augenmerk auf die Sicherheit und betreibt ein eigenes Zertifizierungsprogramm für die Windows Phone Apps.

Mehr App-Sicherheit: Angebote für Betreiber

Um die Sicherheit ihrer App-Stores weiter zu optimieren, bieten sich für die Betreiber zusätzliche Sicherheitslösungen an - im Android-Bereich zum Beispiel die neue Lösung RiskRanker von NQ Mobile, die ähnliche Aufgaben für Android-Marktplätze übernehmen können soll wie Bouncer für Google Play, oder der RSA Anti Rogue App Service, mit dem sich bösartige Apps besser erkennen lassen sollen.

Mehr App-Sicherheit: Lösungen für Nutzer

So wichtig die Sicherheit der App-Stores auch ist, ohne zusätzliche Sicherheitsmaßnahmen auf Seiten der Nutzer wird es nicht gehen. Zusätzlich zu lokal auf dem mobilen Endgerät betriebenen App-Scannern, die inzwischen Teil vieler mobiler Sicherheitslösungen sind, gibt es auch Cloud-Dienste zur Prüfung von Apps, bevor man diese vom jeweiligen App-Store herunter lädt, zum Beispiel den Mobile App Reputation Service (MAR) von Trend Micro.

Nur mit einer mehrstufigen Sicherheit, wie von ENISA empfohlen, und mit zusätzlichen Sicherheitslösungen auf Seiten der App-Store-Betreiber und App-Nutzer kann der steigenden Gefahr durch spionierende und spammende Apps begegnet werden. Die bisher umgesetzten Sicherheitsverfahren der App-Stores zeigen teils noch deutliche Lücken.

App-Store-Sicherheit im Überblick

Auf Basis der ENISA-Empfehlung wurden mehrere Kriterien zur Bewertung der App-Store-Sicherheit aufgestellt. Die Tabelle fasst die Unterschiede bei den verschiedenen App-Stores nochmals zusammen. Ein + steht dabei für "vorhanden", ein - für "nicht vorhanden". "-/+" bedeutet, dass das entsprechende Feature nur teilweise umgesetzt wurde - Details dazu finden sich im Artikel.

Features im Überblick

App-Store

App-Reviews

App-Reputation

Registrierung App-Entwickler

Anmeldesicherheit App-Entwickler

Amazon Appstore for Android

+

+

+

+

AndroidPIT

-/+

+

+

-

Apple

+

+

+

+

BlackBerry

+

+

+

+

Google Play

+

+

+

+

Mobiload

+

-

-/+

-

Nokia

+

+

+

+

OpenAppMkt

-

+

+

-

Opera

+

-

+

-

SamsungApps

+

+

+

-

SlideME

+

-/+

+

+

Soc.io Mall

+

+

+

-/+

Windows Phone

+

+

+

+

(Computerwoche)