Problematische Sicherheit von mobilen Apps

  • Der Großteil der mobilen Gesundheits- und Finanz-Apps weist erhebliche Schwachstellen auf.
  • Prüfsiegel garantieren keine Sicherheit.

Der fünfte »State of Application Security Report« [1] liefert neue erschreckende Ergebnisse zur Sicherheit von mobilen Anwendungen. Dabei wurden insgesamt 126 der beliebtesten mobilen Gesundheits- und Finanz-Applikationen aus Deutschland, den USA, UK und Japan analysiert. Darüber hinaus ließ Arxan die Sicherheit von mobilen Apps im Rahmen einer Befragung sowohl von Seiten der App-Nutzer als auch von Sicherheitsexperten einschätzen.

Enorme Diskrepanz

Die Untersuchung zeigt eine enorme Diskrepanz zwischen dem Vertrauen der Verbraucher in Sicherheitsstandards von mobilen Gesundheits- und Finanz-Apps und dem tatsächlichen Ausmaß von Sicherheitslücken in Applikationen. Während die Mehrheit der App-Nutzer und App-Manager davon überzeugt ist, dass ihre Applikationen hinreichend gesichert sind, erwiesen sich fast alle von Arxan untersuchten Apps – darunter einige der beliebtesten Banking- und Bezahl-Apps sowie FDA-zugelassene Gesundheits-Apps – als gefährdet und anfällig für mindestens zwei der zehn gefährlichsten Sicherheitsrisiken.

Die wichtigsten Ergebnisse des Reports im Überblick:

  • Sowohl Verbraucher als auch Führungskräfte vertrauen auf die Sicherheit ihrer mobilen Applikationen: 84 Prozent der App-Nutzer sowie App-Manager glauben, dass ihre mobilen Gesundheits- und Finanz-Apps hinreichend gesichert sind. 63 Prozent gehen davon aus, dass die App-Anbieter alles ihnen mögliche tun, um ihre Gesundheits- und Finanz-Apps zu schützen.
  • Ein Großteil der mobilen Apps aus den Bereichen Gesundheit und Finanzwesen birgt kritische Sicherheitslücken: 90 Prozent der getesteten Gesundheits- und Finanz-Anwendungen waren mindestens zwei der zehn gefährlichsten Bedrohungen für mobile Applikationen ausgesetzt, die das Open Web Application Security Project (OWASP) aufführt. Darunter waren auch viele Gesundheits-Applikationen (80 Prozent), die von der amerikanischen Food and Drug Administration (FDA) oder dem britischen National Health Service (NHS) zugelassen waren.
  • Es bestehen reale und erhebliche Sicherheitsrisiken: Die am häufigsten identifizierte Schwachstelle war das Fehlen eines Binärcodeschutzes: Fast allen untersuchten Applikationen (98 Prozent) mangelte es an dieser wichtigen Schutzmaßnahme. 83 Prozent der Apps wiesen zudem eine unzureichende Sicherung der Transportschicht auf. Sicherheitslücken wie diese begünstigten Code Tampering, Reverse Engineering, Datenschutzverletzungen sowie Datendiebstahl und ermöglichen Hackern gefährliche Manipulationen. Eine Gesundheits-App könnte im schlimmsten Fall so umprogrammiert werden, dass der Patienten eine tödliche Medikamentendosis verabreicht bekommt. Im Falle von Finanz-Apps könnte ein Hacker Geldüberweisungen umleiten.
  • Die Mehrheit der Anwender würde ihren Anbieter wechseln, wenn Sicherheitsmängel bekannt wären: 80 Prozent der App-Nutzer würden einen anderen Anbieter auswählen, wenn sie erführen, dass die von ihnen genutzten Apps unsicher sind. 82 Prozent gaben an, den Anbieter zu wechseln, sobald ihnen bekannt wäre, dass alternative Apps eines ähnlichen Anbieters sicherer sind.

»Mobile Apps sind für Unternehmen ein wirksames Tool zur Kundenbindung. Doch unter dem Druck, neue Apps möglichst schnell auf den Markt zu bringen, vernachlässigen viele Unternehmen wichtige Sicherheitsvorkehrungen, die letztlich für die Kundenzufriedenheit ausschlaggebend sind«, sagt Patrick Kehoe, CMO von Arxan Technologies. »Die Ergebnisse unseres sechsten ›State of Application Security‹-Reports zeigen, dass die Sicherheit von mobilen Apps bei der Kundenbindung eine wesentliche Rolle spielt. Wirksamer Applikationsschutz ist nicht nur eine Investition in intelligente Technologien zur Hackerabwehr, sondern auch eine kluge Business-Investition, die Unternehmen hilft, sich von ihrem Wettbewerb abzusetzen und ein vertrauensvolles Verhältnis zu ihren Kunden aufzubauen.«

Untersuchungsergebnisse für mobile Applikationen aus dem Gesundheits- und Finanzwesen:

Highlights Gesundheits-Applikationen

  • Mobile Gesundheits-Apps, die von Behörden oder staatlichen Institutionen zugelassen worden sind, sind genauso gefährdet wie andere Apps: 84 Prozent der FDA-zugelassenen Apps waren für mindestens zwei der von OWASP aufgelisteten gefährlichsten 10 Bedrohungen anfällig. Ähnliche Ergebnisse zeigten die vom britischen NHS zugelassenen Apps. Hier waren 80 Prozent von mindestens zwei Risiken bedroht.
  • Der Großteil der mobilen Gesundheits-Apps sind anfällig für Code Tampering und Reverse Engineering: 95 Prozent der FDA-zugelassenen Anwendungen und 100 Prozent der anerkannten NHS-Apps fehlte Binärcodeschutz, was Datenschutzverletzungen, den Diebstahl sensibler Gesundheitsinformationen und Manipulationen begünstigt.

Highlights Finanz-Applikationen

  • Alle untersuchten Banking- und Bezahl-Apps waren von mindestens einem der von OWASP aufgelisteten gefährlichsten 10 Risiken bedroht. Besonders erschreckend ist, dass sich alle untersuchten Finanz-Apps (100 Prozent), die häufig für mobiles Banking und Mobile Payment genutzt werden, als anfällig für Code Tampering und Reverse Engineering erwiesen haben.
  • Android-Applikationen sind nachweislich sicherer als iOS-Applikationen: Alle der analysierten iOS-Apps (100 Prozent) aber »nur« 59 Prozent der Android-Apps waren von mindestens drei der von OWASP aufgelisteten gefährlichsten 10 mobilen Risiken bedroht.

Im Rahmen der Analyse konnte Arxan einige wenige geografische Unterschiede bei der Sicherheit von mobilen Apps in Deutschland, den USA, UK sowie Japan erkennen.

[1] Der komplette »State of Application Security« Report inklusive Infografiken, Methodik und allen allgemeinen sowie branchenspezifischen (Gesundheits- und Finanzwesen) Ergebnissen steht ab sofort zum kostenlosen Download bereit: https://www.arxan.com/resources/state-of-application-security
Mehr Informationen zu Arxan Technologies finden Sie unter www.arxan.com, beziehungsweise bei Twitter (https://twitter.com/Arxan) und Facebook (https://facebook.com/arxan-technologies).

infografik arxan app security