for a better it
040 696 66 71- 0
040 696 66 71-29

Hybrid-Apps als Einfallstor

Mit Hybrid-Apps auf dem Firmenhandy öffnen Unternehmen Angreifern Tür und Tor. Dies ergab eine Studie des Fraunhofer SIT. Denn die meisten Web-Apps verfügen über altbekannte und neue Sicherheitslücken.

Viele, auch seriöse, mobile Apps haben schwerwiegende Sicherheitslücken in der Programmierung, die Angreifer ausnutzen und somit große Schäden für Unternehmen anrichten können. Besonders anfällig für Angriffe sind Hybrid-Apps, die auf unterschiedlichen mobilen Betriebssystemen laufen. Das ist das Ergebnis des neuen Appicaptor Security Index des Fraunhofer SIT, der sich dieses Jahr besonders auf die Sicherheitsanalyse der Hybrid-Apps konzentriert.

Bekannte und neue Sicherheitslücken

Plattformübergreifende, also Hybrid-Apps, nutzen Webtechnologien wie HTML und JavaScript. Damit importieren sie auch die Sicherheitsnachteile dieser Technologien vom Browser in die Apps – wo sie ungleich gravierendere Schäden für Unternehmen anrichten können. Durch die App-Schnittstellen zum Betriebssystem können auch weitere Unternehmensdaten und Sensoren aus dem Smartphone angreifbar werden. Allerdings sind diese Apps bei Entwicklern sehr beliebt, da eine Anwendung nur einmal programmiert werden muss und dann plattformübergreifend läuft, was Zeit und Kosten sparen soll.

Darüber hinaus wird eine Untersuchung dieser Apps erschwert, da ein Mix aus JavaScript und nativem Code genutzt wird. Gerade Schwächen von JavaScript-Code werden bei vielen App-Analysen häufig nicht ausreichend berücksichtigt, so die Erkenntnis der Fraunhofer-Forscher.

Laut dem Appicaptor Security Index ist es zudem auffällig, dass Hybrid-App-Entwickler überwiegend auf die Nutzung bestehender Schutzmaßnahmen in ihren Apps verzichten und Bibliotheken mit bekannten Sicherheitslücken einsetzen – sei es aus Zeitdruck oder Unkenntnis.

Zugriff auf Sensoren und Dateien

Die Fraunhofer-Sicherheitsforscher haben jeweils die 2000 Top-Apps für die mobilen Betriebssysteme Android und iOS automatisiert untersucht. Smartphone-Nutzer, die Apps mit einer schlechten Sicherheitsqualität nutzen, können über Schwachstellen dieser Apps Opfer von Angriffen Dritter werden, ohne explizite App-Malware installiert zu haben.

Dabei können Angreifer gravierende Schäden anrichten, je nachdem, über welche Berechtigungen die anfällige App verfügt. Unter Android kann ein Angreifer in diesem Fall auch unbemerkt Inhalte wie interne Fotos oder vertrauliche PDF-Dokumente aus dem (externen) Dateisystem auslesen und in einen Cloud-Speicher des Angreifers kopieren.

Laut Appicaptor Security Index sind zudem mehr als 70 Prozent der Apps zur Verwaltung von Dokumenten und Dateien nicht sicher genug, um in Unternehmen eingesetzt zu werden. So sind beispielsweise übermittelte oder gespeicherte Daten nicht hinreichend gegen den unbefugten Zugriff durch Dritte geschützt.


Wir empfehlen eine klare Trennung »privater« und »geschäftlicher« Daten sowie Apps. Voraussetzung hierfür ist ein gehärteter Sicherheitskern, welcher Ihr Smartphone in zwei Bereiche unterteilt: Einen privaten Bereich („Open“) und einen Unternehmensbereich („Restricted“).

Quelle: www.elektroniknet.de
Quelle: Rohde & Schwarz Cybersecurity

Nervöse Finger?

Das beste Mittel gegen nervöse Finger: Der brandneue Link Lookup Service prüft jeden aus david® heraus aufgerufenen Web-Link auf gefährliche Inhalte und meldet sich im Zweifelsfall beim arglosen User. So sind betrügerische eMails keine Gefahr mehr.

Und das Beste: Der Link Lookup Service ist kostenlos für alle Nutzer von david® mit sitecare™. Noch kein sitecare™? Gern helfen wir Ihnen dabei, sprechen Sie uns an!

Nervöse Finger?

Das beste Mittel gegen nervöse Finger: Der brandneue Link Lookup Service prüft jeden aus david® heraus aufgerufenen Web-Link auf gefährliche Inhalte und meldet sich im Zweifelsfall beim arglosen User. So sind betrügerische eMails keine Gefahr mehr.Und das Beste: Der Link Lookup Service ist kostenlos für alle Nutzer von david® mit sitecare™. Noch kein sitecare™? https://de.tobit.software/davidupdate

Posted by David by Tobit.Software on Freitag, 3. November 2017

Quelle: David by Tobit.Software

Cloud-Sicherheit und CASB – 4 Fragen an Dr. Bruno Quint

Worin besteht der Unterschied zwischen herkömmlichen Cloud-Security-Lösungen und dem neuen Ansatz von TrustedGate? Kurz und knapp erklärt durch unseren Experten Dr. Bruno Quint von Rohde&Schwarz Cybersecurity.

Cloud-Sicherheit und CASB – 4 Fragen an Dr. Bruno Quint

Worin besteht der Unterschied zwischen herkömmlichen Cloud-Security-Lösungen und dem neuen Ansatz von TrustedGate? Kurz und knapp erklärt durch unseren Experten Dr. Bruno Quint von Rohde&Schwarz Cybersecurity.

Posted by Rohde & Schwarz Cybersecurity on Donnerstag, 2. November 2017

Quelle: Rohde & Schwarz Cybersecurity