Sicherheitslücken bei Millionen beliebter Apps

illu halloween ms freeDie Studie »Out of Pocket: A Comprehensive Mobile Threat Assessment of 7 Million iOS and Android Apps« bietet umfassenden Einblick in die Auswertung von Sicherheitslücken bei Smartphone-Apps [1]. Sie zeigt, dass Malware für Android-Smartphones zu einer allgegenwärtigen Gefahr wird und auch iOS-Geräte immer mehr Sicherheitsrisiken ausgesetzt sind.

Mitarbeiter von FireEye haben im Zeitraum von Januar bis Oktober 2014 insgesamt sieben Millionen Apps für die Betriebssysteme Android und iOS untersucht. Im Fokus der Untersuchung standen beliebte Apps mit mehr als 50.000 Downloads, die hinsichtlich ihrer Anfälligkeit für gängige Sicherheitsvorfälle analysiert wurden. 31 Prozent von ihnen erwiesen sich als angreifbar. 18 Prozent dieser angreifbaren Apps verwalten persönliche Informationen ihrer Nutzer, wie Finanzdaten, Gesprächsverläufe oder Daten zum Kaufverhalten. Eine weitere Analyse aus dem zweiten Halbjahr 2013 zeigt, dass sich die Anzahl der Android-Apps verfünffacht hatte, die gezielt für den Diebstahl finanzieller Informationen entworfen wurden.

»Apps sind heutzutage ein wichtiger Angriffsvektor für Angriffe auf Unternehmen«, sagt Manish Gupta, Senior Vice President of Products bei FireEye. »Das größte Problem ist dabei, dass die meisten Unternehmen kaum oder keinerlei Wissen um die Sicherheitsrisiken ihrer Mobilgeräte oder den Umgang mit Advanced Cyber Attacks auf ihnen haben. Die Ergebnisse der Studie zeigen, wie groß die Bedrohung durch schädliche Apps ist und warum Unternehmen Sicherheitsrichtlinien für Mobilgeräte und Anwendungen benötigen.«

Anzeige

 

Die Studie identifiziert einen neuen Weg für iOS-Malware, der den Prüfprozess in Apples App Store umgeht. Angreifer können die Ad-hoc-Bereitstellung von Apps und legitime Signaturen ausnutzen, um Schadprogramme über USB-Verbindungen oder mobile Netzverbindungen an Endnutzer zu bringen. Mitarbeiter von FireEye haben herausgefunden, dass mehr als 1.400 frei verfügbare iOS-Apps unterschiedliche Sicherheitslücken aufweisen, obwohl sie legitime Signaturen verwenden.

Die Analyse zeigt, dass Smartphone-Nutzer aktuell mehreren Sicherheitsrisiken ausgesetzt sind. Dazu gehören:

  • Schädliche Apps, die nach Installation Datendiebstahl betreiben
  • Legitime Apps, die angreifbar programmiert wurden
  • Legitime Apps, die unsichere oder schädliche Ad-Libraries verwenden, um Werbebanner einzublenden
  • Malware und schädliche Adware, die Google Plays Sicherheitstests bestehen und fälschlicherweise als sicher gelten
  • Identitätsdiebstahl
  • Tarif- und SMS-Betrug

»Smartphones halten weltweit in immer mehr Lebensbereiche Einzug, während die Hersteller von PCs und Laptops sinkende Verkaufszahlen ihrer Produkte beobachten. Auch in Unternehmen geht der Trend zu einfachen und leichten smarten Endgeräten«, sagt Frank Kölmel, Vice President Central & Eastern Europe bei FireEye. »Auch Cyberkriminelle folgen dem Trend und werden in diesem Jahr abermals für eine deutliche Zunahme von Angriffen auf Mobilgeräte sorgen. Die aktuellen Bedrohungen für Android und iOS ein neues Ausmaß und stellen Sicherheitsverantwortliche vor bisher ungeahnte Herausforderungen.«

[1] Den vollständigen Bericht zur Studie von FireEye finden Sie unter: https://www2.fireeye.com/WEB-2015RPTMobileThreatAssessment.html