Sicherheitsrisiko App-Stores

1. Risiko: Falsche Identität des App-Entwicklers

Wenn ein App-Store die Identität des App-Entwicklers nicht ausreichend überprüft, helfen Reputation-Konzepte bei der Sicherheitsbewertung einer App wenig. Datendiebe können die Identität eines bekannten App-Entwicklers vortäuschen und in dessen Namen bösartige Apps über den unzureichend geschützten App-Marktplatz anbieten und verbreiten. Benutzerkonten für Entwickler garantieren zwar ohne weiteres nicht die Echtheit der Identität, erschweren aber die Übernahme der Identität eines bereits registrierten Entwicklers.

Um die Identität der Entwickler zu prüfen, verlangt Samsung Apps beispielsweise die Registrierung mit einem umfangreichen Profil und weist jedem App-Anbieter jeweils ein eigenes Benutzerkonto zu. Bei Google Play lassen sich Identitäten über die Zugangsdaten für das Google-Konto prüfen. Der App Store von Apple schließlich setzt für die Einreichung von Apps eine Apple ID für den Entwickler voraus. Die erschwert die Übernahme eines legitimen Entwicklerkontos.

Doch nicht alle Stores legen hier Wert auf Sicherheit: Der App-Marktplatz Mobiload zum Beispiel ermöglicht das Einreichen von Apps zur Veröffentlichung ohne eigenes Benutzerkonto für den Entwickler. Da keine Authentifizierung des Entwicklers beim Hochladen der App vorgesehen ist, kann nicht ohne weiteres festgestellt werden, ob eine neue App tatsächlich von einem bereits bekannten Entwickler stammt.