Anstieg der Hacks bei den Top-100-Apps

Der neue »State of Mobile App Security Report« weist nach, dass 97 Prozent der kostenpflichtigen Top 100 Android-Apps und 87 Prozent der kostenpflichtigen Top 100 iOS-Apps gehackt wurden [1]. Zusätzlich wurde auch ein Anstieg der Hacks bei populären kostenlosen Apps festgestellt sowie weitreichende Angriffe in den Bereichen Finanzen, Gesundheit und Handel – zumeist getrieben durch Hacks von Android-Apps.

Der Report 2014 bestätigt die Ergebnisse der letzten Jahre mit einer deutlichen Vorliebe der Hacker für die beiden führenden Plattformen iOS und Android. Gleichzeitig steigt die weltweite App-Nutzung stark an: Prognosen zufolge wird die Download-Anzahl kostenloser Apps um 99 Prozent auf 253 Milliarden im Jahr 2017 steigen, während kostenpflichtige Apps im gleichen Zeitraum um 33 Prozent auf 15 Milliarden zulegen werden. Dieses immense Wachstum erstreckt sich über alle Branchen und wird vor allem durch Android forciert, das mit einem Marktanteil von 85 Prozent weiterhin dominiert.

Vor dieser Bedrohungslage und im Umfeld jüngster Angriffe wie WireLurker oder Masque, zeigt die Studie die Notwendigkeit zur Selbstverteidigung von Apps.

Die wichtigsten Ergebnisse des »State of Mobile App Security Report« 2014:

Sowohl kostenlose als auch kostenpflichtige Top 100-Apps sind breiten Attacken ausgesetzt.

  • 97 Prozent der kostenpflichtigen Top 100 Android-Apps und 87 Prozent der kostenpflichtigen Top 100 iOS-Apps wurden gehackt. Der aktuelle Anteil gehackter Android-Apps entspricht in etwa dem Ergebnis des Vorjahres, hingegen ist der Anteil der gehackten iOS-Apps im letzten Jahr (56 Prozent) stark gestiegen.
  • 80 Prozent der populärsten Android- und 75 Prozent der populärsten iOS-Gratis-Apps wurden gehackt. Der Anteil der gehackten kostenlosen iOS-Apps steigt seit drei Jahren kontinuierlich an.

Hacker zielen auf mobile Apps in besonders sensiblen Bereichen

  • Mobile Finanz-Apps sind immer noch in Gefahr. 95 Prozent der untersuchten Android-Finanz-Apps waren »gecrackt« im Vergleich zu 70 Prozent der iOS-Apps. Dies stellt einen Anstieg bei beiden Plattformen dar, wobei die Angriffe auf Android um rund 80 Prozent gestiegen sind.
  • 90 Prozent der Android-Apps sowie 35 Prozent der iOS-Apps im Bereich Handel wurden kompromittiert. Hacker zielen zunehmend auf B2C-Apps, gerade im Zuge der Einführung mobiler Payment-Lösungen, sowie auf B2B-Handels-Apps. In beiden Bereichen sind sensible Daten, IP und finanzielle Transaktionen gefährdet.
  • 90 Prozent der Android-Healthcare-Apps wurden gehackt, von denen 22 Prozent eine Zulassung der US-amerikanischen Gesundheitsbehörde FDA haben.

 

Führende Experten, wie etwa der Gartner-Analyst Joseph Feiman, empfehlen proaktive Maßnahmen zum Schutz der Applikationen. So rät Feiman in seinem aktuellen Maverick-Report, dass CISOs Applikations-Selbstverteidigung zur »neuen Investment-Priorität noch vor Perimeter- und Infrastruktur-Schutz« machen sollen: »Runtime Application Self Protection (RASP) ist dazu ausgelegt, Applikationen durch zusätzliche Schutzmaßnahmen in der Laufzeit-Umgebung zu verteidigen.«

Als Antwort auf diese Herausforderungen beinhaltet der Report »State of Mobile App Security« die wichtigsten Empfehlungen um die Sicherheit mobiler Anwendungen nachhaltig zu verbessern:

  • Applikationen mit hochriskanten Profilen auf jeder mobilen Plattform sollten manipulationssicher, selbstschützend und in der Lage sein, Laufzeitbedrohungen zu erkennen.
  • Alle Applikationen sollten so entwickelt werden, dass ihre Vertraulichkeit gesichert und ihr Code geschützt ist.
  • Die für Mobile-Payment-Lösungen genutzte Software (etwa Host Card Emulation Software) sollte durch Verschlüsselung und App-Härtung geschützt werden.
  • Unternehmen sollten mittels Mobile App Assessments prüfen, ob ihre Anwendungen spezifischen Risiken einer mobilen Umgebung ausgesetzt sind. Zudem sollten sie im Rahmen des Entwicklungszyklus Penetrationstests durchführen, mit denen unter anderem die Gefahr für Reverse Engineering und Tampering beurteilt werden kann.

»Im Zentrum unserer Forschung und Entwicklung steht das Streben nach immer besserer mobiler Sicherheit«, sagt Jonathan Carter, Technical Director bei Arxan. »Wir werden weiterhin auf entstehende Bedrohungen mit innovativen Sicherheitslösungen antworten und damit den stärksten Applikationsschutz für unsere Kunden anbieten.«

___________________________________

[1] Der komplette Report »State of Mobile App Security Report« des Spezialisten für Integritätsschutz von Applikationen, Arxan Technologies, steht ab sofort zum kostenlosen Download bereit. https://www.arxan.com/resources/state-of-security-in-the-app-economy/

www.arxan.com

infografik arxan mobile app security