Die OWASP Mobile Top 10 - Mehr Sicherheit für mobile Anwendungen
Die OWASP Mobile Top 10 ist eine Liste der dringlichsten Schwachstellen, vor denen Sie mobile Anwendungen schützen sollten.
Die Digitalisierung bringt zahlreiche Vorteile mit sich, von denen Sie in Ihrem Unternehmen täglich profitieren. Gleichzeitig ist die Online-Welt weniger sicher, als sie auf den ersten Blick erscheinen mag. Cyberattacken stellen eine ernsthafte Bedrohung für jedes Unternehmen dar -- sie kosten nicht nur Geld, sondern gefährden auch Ihre sensibelsten Daten. Um dem entgegenzuwirken, benötigen Sie eine fundierte Sicherheitsstrategie. Das Open Web Application Security Project (OWASP) liefert Ihnen die notwendigen Ansätze, um Webanwendungen sicher zu gestalten.
Das OWASP-Projekt für mehr IT-Sicherheit
Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Initiative, die auf dem Sicherheitswissen weltweiter Experten basiert. Sie gilt mittlerweile international als führende Organisation für die Sicherheit von Informationssystemen. OWASP wurde 2001 ins Leben gerufen, 2004 als Non-Profit-Organisation in den USA gegründet und 2011 auch in Europa registriert. Seitdem arbeiten die Mitglieder daran, Sicherheitslücken in Webanwendungen und -Services aufzudecken. Ein zentraler Bestandteil sind die OWASP Top Ten -- eine Liste der dringlichsten Schwachstellen, vor denen Sie mobile Anwendungen schützen sollten. Der OWASP Mobile Application Testing Guide ist damit ein wichtiges Hilfsmittel für eine verbesserte Cybersicherheit.
Die OWASP Mobile Top 10 im Überblick
Die OWASP Mobile Top 10 geben Ihnen einen Überblick über die zehn kritischsten Sicherheitsrisiken für Ihre Apps und Webanwendungen. Sie zeigen, mit welchen Angriffsvektoren Sie rechnen müssen und wie Sie sich wirksam dagegen schützen können.
1. Unsachgemäße Plattform-Nutzung
Der erste Punkt der OWASP Top 10 ist die unsachgemäße Plattform-Nutzung. Plattformen wie iOS, Android oder Windows Phone stellen verschiedene Fähigkeiten und Funktionen bereit. Verwendet eine App eine vorhandene Funktion nicht oder falsch, spricht man von unsachgemäßer Nutzung. Dabei kann es sich beispielsweise um einen Verstoß gegen veröffentlichte Richtlinien handeln, der die Sicherheit der App beeinträchtigt. Anders als die übrigen Punkte der OWASP Mobile Top Ten richtet sich dieser Aspekt nicht ausschließlich an App-Entwickler. Das Problem bei Verstößen gegen gängige Konventionen: Sie ermöglichen unbeabsichtigten Missbrauch.
2. Unsichere Datenspeicherung
Unsichere Datenspeicherung und unbeabsichtigte Datenlecks fallen ebenfalls unter die OWASP Mobile Top Ten. Mobile Application Penetration Testing Tools helfen dabei, solche Schwachstellen aufzudecken. Betroffen muss dabei nicht zwingend Ihre SQL-Datenbank sein -- auch Manifest- und Protokolldateien, der Cookie-Speicher oder die Cloud-Synchronisation können Sicherheitslücken aufweisen. Dieses Problem tritt so häufig auf, dass es ein fester Bestandteil Ihrer OWASP Mobile Security Checklist sein sollte. Die Ursache liegt fast immer in unzureichend dokumentierten oder undokumentierten internen Prozessen.
3. Unsichere Kommunikation
Ihre App transportiert Daten von Punkt A nach Punkt B. Ist dieser Transport unsicher, steigt das Risiko erheblich. Auch hier unterstützen Sie die gängigen Mobile Application Penetration Testing Tools -- sie helfen, fehlerhafte App-to-Server- oder Mobile-to-Mobile-Kommunikation aufzuspüren. Das größte Risiko liegt in der Übertragung sensibler Daten zwischen Geräten. Dazu zählen Verschlüsselungsschlüssel, Kennwörter, Kontodetails oder private Benutzerinformationen. Fehlen an dieser Stelle die notwendigen Sicherheitsvorkehrungen, haben Angreifer leichtes Spiel.
4. Unsichere Authentifizierung
Eine sichere Authentifizierung ist ein weiterer zentraler Aspekt Ihrer OWASP Mobile Security Checklist. Es gibt zahlreiche Szenarien, in denen eine App eine unsichere Authentifizierung ermöglicht. Ein klassisches Beispiel ist eine Backend-API-Anfrage, die die mobile Anwendung anonym und ohne Zugriffstoken ausführt. Darüber hinaus gibt es nach wie vor Apps, die Kennwörter lokal im Klartext speichern. Um diese Risiken zu minimieren, sollten Sie die Empfehlungen der OWASP konsequent umsetzen.
5. Mangelnde Kryptografie
Mangelnde Kryptografie ist in den meisten mobilen Anwendungen zu beobachten. Die Ursache ist fast immer eines von zwei Problemen: ein grundlegend fehlerhafter Prozess hinter den Verschlüsselungsmechanismen oder die Implementierung eines schwachen Algorithmus.
6. Unsichere Autorisierung
Anders als die Authentifizierung beschäftigt sich die Autorisierung mit der Überprüfung einer bereits identifizierten Person. Sie prüft, ob die erforderlichen Berechtigungen für bestimmte Handlungen vorliegen. Obwohl beide Konzepte eng miteinander verbunden sind, werden sie in den OWASP Top 10 bewusst separat aufgeführt. Sie bedingen einander: Eine fehlende Authentifizierung führt fast immer auch zu einer mangelhaften Autorisierung. Diese Sicherheitslücken sollten Sie schnellstmöglich schließen, um Ihre sensiblen Unternehmensdaten vor unbefugten Zugriffen zu schützen.
7. Mangelhafte Client-Code-Qualität
Dieser Punkt der OWASP Top 10 bezieht sich auf Implementierungsfehler auf Codeebene. Sämtliche Schwachstellen, die aus solchen Fehlern resultieren, können Angreifern einen Einstiegspunkt bieten. Das Hauptrisiko besteht darin, dass der Code gezielt und lokal angepasst werden muss. Insbesondere die unsichere Verwendung von APIs oder unsichere Sprachkonstrukte sind häufige Probleme, die Sie direkt auf Codeebene beheben müssen.
8. Code Manipulation
Aus technischer Sicht ist jeder Code auf einem mobilen Gerät anfällig für Manipulation, da er in einer fremden Umgebung ausgeführt wird und nicht mehr der Kontrolle Ihres Unternehmens unterliegt. Entsprechend gibt es zahlreiche Möglichkeiten, ihn nach Belieben zu modifizieren. Diese unbefugten Änderungen sollten Sie stets im Zusammenhang mit den möglichen geschäftlichen Auswirkungen betrachten.
9. Reverse-Engineering
Angreifer, die die Funktionsweise Ihrer App verstehen möchten, können mittels Reverse-Engineering auf alle relevanten Informationen zugreifen. Besonders Metadaten, die eigentlich die Arbeit Ihrer Entwickler erleichtern sollen, stellen ein hohes Risiko dar. Grundsätzlich gilt eine App als gefährdet, wenn sich die Zeichenfolgen-Tabelle der Binärdatei klar nachvollziehen lässt oder funktionsübergreifende Analysen möglich sind.
10. Fremde Funktionalität
Versteckte Backdoor-Funktionen oder interne Sicherheitskontrollen sind ein häufiges Problem in mobilen Anwendungen. Sie sind nicht nur für Entwickler nützlich, sondern auch für Angreifer. Diese können darüber beispielsweise die Zwei-Faktor-Authentifizierung deaktivieren oder die grundlegende Funktionalität der App verändern.
Der OWASP Mobile Testing Guide: Leitfaden für eine bessere Mobile Security
Anwendungen, die nach dem OWASP-Framework entwickelt werden, gelten allgemein als sicher. Wenn Sie diesen Leitfaden befolgen, profitieren Sie von einem deutlich höheren Sicherheitsstandard als bei den meisten Apps üblich. Der Grundgedanke des OWASP Testing Guide besteht darin, Ihnen Prozesse, Techniken und Tools an die Hand zu geben, die Sie für die Sicherheitstests Ihrer mobilen Apps nutzen können. Die Inhalte des OWASP Testing Guide sind keineswegs verpflichtend, dennoch lohnt es sich, auf dieses Expertenwissen zurückzugreifen -- der OWASP Mobile Application Testing Guide bildet die Grundlage für Ihre App-Sicherheit.
Mobile Penetration Testing: Das können Pentests für mobile Anwendungen
Regelmäßige Penetrationstests bilden die Grundlage für die Sicherheit Ihrer Anwendungen. Selbst eigenständige Apps sollten Sie niemals isoliert betrachten, denn sie sind stets Teil eines größeren Systems. Sobald Ihre mobile Anwendung mit einem Server kommuniziert, müssen potenzielle Sicherheitslücken geprüft werden. Das gelingt am besten durch eine Kombination aus Infrastruktur-Pentest und gezieltem Mobile Pentest. Die Basis für diese Tests bildet der OWASP Mobile Security Testing Guide, der Ihnen hilft, Risiken frühzeitig zu erkennen. Der genaue Ablauf richtet sich nach Ihren konkreten Anforderungen -- der OWASP Mobile Security Testing Guide ist dabei eine Richtlinie, keine Verpflichtung.
Frida - Effizient, portabel und sicher
Frida ist ein Toolkit für Entwickler, Sicherheitsforscher und Reverse-Engineering. Es ermöglicht dynamische Instrumentierung und ist dabei skriptfähig, portabel und kostenlos. Fridas Ziel ist es, die nächste Generation von Entwicklertools zu stärken und mobile Applikationen sicherer zu machen -- auf Basis schneller und umfassender Analysen im großen Maßstab.
In den folgenden Beiträgen informieren wir Sie zu weiteren Themen: