Bei der Hälfte aller globalen Unternehmen nutzen Mitarbeiter zahlreiche Glücksspiel-Apps auf ihren mobilen Arbeitsgeräten. In einigen Netzwerkumgebungen wurden sogar mehr als 35 verschiedene Spiele-Apps installiert.
Im Rahmen einer Analyse wurden Hunderttausende in IT-Umgebungen installierte, mobile Anwendungen getestet. Viele der installierten Spiele-Apps enthalten Adware sowie kritische Sicherheitslücken – etwa unzureichende Verschlüsselungen, die es Cyber-Kriminellen ermöglichen, Zugang zu Kontakten, E-Mails, Anruflisten, Gerätestandorten sowie gespeicherten Konversationen zu erhalten.
Die Analysten von Gartner gehen davon aus, dass bis Ende des Jahres 75 Prozent aller mobilen Anwendungen grundlegende Sicherheitsprüfungen nicht bestehen werden [1]. Ein Teil dieses Prozentsatzes ist sicher unsauberer Programmierung sowie der Nutzung unsicherer Open-Source- und Drittanbieter-Bibliotheken geschuldet. Zudem versuchen Cyber-Kriminelle und auch andere Staaten jedoch fortwährend, unsichere Anwendungen auszunutzen, um geistiges Eigentum von Unternehmen zu stehlen, Aktivitäten hochrangiger Personen und/oder Andersdenkender zu verfolgen sowie aggressive Adware zu deren finanziellen Vorteil einzusetzen. Kostenlose Apps enthalten typischerweise werbefinanzierte Software Development Kits (SDK), die gewinnerzielend eingesetzt werden, indem Nutzerdaten wie die Identität und der Ort des Anwenders an Werbeserver auf der ganzen Welt geschickt werden.
Anzeige
Veracode hat einige unsichere Glücksspiel-Apps identifiziert, darunter Poker, Black Jack und Bingo:
- GSN Casino prüft, ob das Gerät, auf dem die App installiert ist, gerootet oder gehackt ist, um zusätzliche Funktionen installieren zu können, Anti-Malware Programme auszuschalten, Firmware zu ersetzen oder Berechtigungsdaten aus dem Cache einzusehen, wie beispielsweise Online Banking-Passwörter. Zusätzlich hat die App die Fähigkeit, Audio- und Videoinformationen wie auch Nutzerdaten aufzuzeichnen. Sie kann leicht dazu genutzt werden, einen Man-in-the-Middle (MITM)-Angriff auszuführen, der es Cyber-Kriminellen gestattet, die Netzwerkkommunikation abzuhören und sogar zu modifizieren.
- Eine große Slot-App kommuniziert durch die Nutzung unverschlüsselter und unsicherer HTTP-Protokolle mit Back-end Cloud-Diensten. So kann ein Zielprofil erstellt werden mit sensiblen, demografischen Daten des Nutzers, wie Geschlecht, Geburtsdatum und Login-Zeiten. Weitere Analysen zeigen, dass die App ohne Berechtigung durch den Nutzer zusätzlich bis zu 24 Megabyte verschlüsselter Daten von Servern außerhalb der USA herunterlädt, was darauf hindeutet, dass die App möglicherweise auch spontan schadhafte Software installieren kann.
- Zehn digitale Spiele-Apps, darunter Gold Fish Casino Slots, Jackpot Party Casino und Texas Poker können lokale Dateien lesen, schreiben und sogar löschen. Ebenso können diese Apps einen direkten Zugang zu Netzwerkfunktionen und Verbindungen zu beliebigen Servern herstellen und so Daten von jeder möglichen Quelle empfangen.
Analysen von Veracodes cloud-basierter Plattform ergaben außerdem, dass mehr als drei Viertel aller mobilen Anwendungen grundlegenden Sicherheitsrichtlinien, wie beispielsweise die Mobile OWASP Top 10, nicht standhalten würden. Unter die Top-Angriffe fallen Remote Access Trojaner (RAT), die auf Nutzerdaten zugreifen können, Man-in-the-Middle-Angriffe (MITM), die eine schwache Kryptographie ausnutzen, Ransomware, die einem den Zugriff auf das Gerät verbieten, bis ein »Lösegeld« bezahlt wird und Fake-Zertifikate, die es den Angreifern ermöglichen, neben dem normalen Betrieb schadhafte Anwendungen zu installieren.
Automatisiertes Application Blacklisting
»Mitarbeiter installieren wohl oder übel riskante Apps auf ihren Mobilgeräten, vergrößern dadurch die Angriffsfläche und gefährden somit Unternehmensdaten – das passiert auch bei höher gestellten Mitarbeitern, wie Managern und Führungskräften«, so Theodora Titonis, Vicepresident of Mobile Security bei Veracode. »Manuelle Methoden, um unsichere mobile Anwendungen ausfindig zu machen, wie manuelle Penetrationstests und manuell erstellte schwarze Listen (Blacklisting) sind schwer skalierbar aufgrund der unglaublichen Größe, Komplexität und der sich konstant verändernden Art des Problems. Folglich scheitern Unternehmen entweder daran, mit den Gefahren im mobilen Bereich Schritt zu halten oder sie frustrieren Mitarbeiter durch ein unbegründetes Verbot der Apps.«
Unternehmen können das Risiko entsprechend minimieren, indem sie automatisiertes Application Blacklisting sowie weitere richtlinienbasierte Kontrollen mit Standard MDM/EMM-Lösungen einführen, von Anbietern wie Mobilelron, AirWatch by VMware und Fiberlink, ein IBM Unternehmen. Diese MDM/EMM-Lösungen sind derzeit in Veracodes cloud-basiertem, intelligentem Reputations-Service durch APIs integriert und helfen dabei, risikoreiche Profile aus Hunderttausenden von mobilen Anwendungen herauszufiltern, die kontinuierlich durch die Nutzung fortschrittlicher Verhaltensanalysen und lernfähiger Technologien bewertet werden.
Schätzungen von Juniper Research zufolge werden Smartphone- und Tablet-Besitzer bis 2018 bei casinoähnlichen Apps Ausgaben in Höhe von bis zu 60 Milliarden Dollar in Wetten setzen – fünf Mal so viel, wie in den derzeitigen gesamten mobilen Spielemarkt investiert wird [2]. Des Weiteren sind die Einsätze in Casino Slots und Kartenspiele für Android um 105 Prozent von November 2013 bis November 2014 gestiegen [3].