Die OWASP Mobile Top 10 - Mehr Sicherheit für mobile Anwendungen

Die Digitalisierung bringt unzählige Vorteile mit sich, von denen Sie Tag für Tag in Ihrem Unternehmen profitieren. Gleichzeitig ist die Online-Welt weniger sicher als sie auf den ersten Blick erscheinen mag. Cyber-Attacken sind eine ernsthafte Bedrohung für jedes Unternehmen, denn sie kosten Sie nicht nur Geld, sondern gefährden Ihre sensibelsten Daten. Um dem entgegenzuwirken, benötigen Sie die richtige Sicherheitsstrategie. Das Open Web Application Security Project (OWASP) bietet Ihnen dafür die notwendigen Ansätze, um Anwendungen im Web sicher zu gestalten.

Das OWASP-Projekt für mehr IT-Sicherheit

Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Initiative, die auf dem Sicherheitswissen weltweiter Experten beruht. Mittlerweile gilt sie international als die führende Organisation für die Sicherheit von Informationssystemen. Als Non-Profit Organisation entstand die OWASP 2004 in den USA und wurde 2011 auch in Europa registriert. Seither arbeiten die Mitglieder daran, Sicherheitslücken in Webanwendungen und -Services zu lokalisieren. Ein wichtiger Begriff sind die OWASP Top Ten. Es handelt sich dabei um eine Liste der dringlichsten Schwachstellen, vor denen Sie mobile Anwendungen schützen sollten. Damit ist der OWASP Mobile Application Testing Guide ein wichtiges Hilfsmittel für eine verbesserte Cybersicherheit.

Die OWASP Mobile Top 10 im Überblick

Die Die OWASP Mobile Top 10 geben Ihnen einen Überblick über die zehn kritischsten Sicherheitsrisiken Ihrer Apps und Webanwendungen. Sie zeigen Ihnen, mit welchen Angriffsvektoren Sie rechnen müssen und wie Sie sich vor ihnen schützen können.

1. Unsachgemäße Plattform-Nutzung

Der erste Punkt unter den OWASP Top 10 ist die unsachgemäße Plattform-Nutzung. Plattformen wie iOS, Android oder Windows Phone stellen verschiedene Fähigkeiten und Funktionen bereit, die Sie nutzen können. Verwendet die App eine vorhandene Funktion nicht oder gar falsch, spricht man von der unsachgemäßen Nutzung. Dabei kann es beispielsweise um einen Verstoß gegen veröffentlichte Richtlinien handeln, der die Sicherheit der App beeinflusst. Anders als die anderen Punkte der OWASP Mobile Top Ten richtet sich dieser Aspekt nicht ausschließlich an die App-Entwickler. Das Problem, gegen die gängigen Konventionen zu verstoßen ist, dass dadurch ein unbeabsichtigter Missbrauch möglich wird.

2. Unsichere Datenspeicherung

Die unsichere Datenspeicherung wie auch unbeabsichtigte Datenlecks fallen ebenfalls unter die OWASP Mobile Top Ten. Mobile Application Penetration Testing Tools helfen dabei, solche Missstände aufzudecken. Dabei muss es sich jedoch nicht zwangsweise um Ihre SQL-Datenbank handeln. Auch Manifest- und Protokolldateien, der Cookie-Speicher oder die Cloud-Synchronisation können davon betroffen sein. Übrigens: Dieses Problem tritt so häufig auf, dass es ein wichtiger Bestandteil Ihrer OWASP Mobile Security Checklist sein sollte. Der Grund dafür ist fast immer in unzureichend dokumentierten oder undokumentierten internen Prozessen zu finden.

3. Unsichere Kommunikation

Ihre App transportiert Daten von Punkt A nach Punkt B. Ist dieser Transport unsicher, steigt das Risiko. Auch hierbei helfen Ihnen die wichtigsten Mobile Application Penetration Testing Tools. Sie unterstützen Sie dabei, eine fehlerhafte App-to-Server- oder Mobile-to-Mobile-Kommunikation aufzuspüren. Das größte Problem ist die Übertragung sensibler Daten von einem Gerät auf ein anderes. Das können Verschlüsselungen, Kennwörter, Kontodetails oder private Benutzerinformationen sein. Fehlen an dieser Stelle die notwendigen Sicherheitsvorkehrungen, ist es ein Leichtes für Hacker, auf Ihre Daten zuzugreifen.

4. Unsichere Authentifizierung

Eine sichere Authentifizierung ergänzt Ihre OWASP Mobile Security Checklist um einen weiteren zentralen Sicherheitsaspekt. Tatsächlich gibt es viele verschiedene Möglichkeiten, die der App eine unsichere Authentifizierung ermöglichen. Ein klassisches Beispiel ist eine Back-End-API-Dienstanforderung, die die mobile Anwendung anonym ausführt, ohne dabei auf ein Zugriffstoken zu setzen. Zusätzlich gibt es nach wie vor Apps, die Kennwörter lokal im Klartext speichern. Um diese potenziellen Risiken zu minieren, sollten Sie die Empfehlungen der OWASP berücksichtigen.

5. Mangelnde Kryptografie

Der unsichere Einsatz von Kryptografie ist in den meisten App-Anwendungen zu beobachten. Dabei handelt es sich fast immer um eines von zwei Problemen: ein grundlegend fehlerhafter Prozess hinter den Verschlüsselungsmechanismen oder die Implementierung eines schwachen Algorithmus.

6. Unsichere Autorisierung

Anders als die Authentifizierung beschäftigt sich die Autorisierung mit der Überprüfung einer identifizierten Person. Sie prüft, ob die erforderlichen Berechtigungen vorliegen, die für bestimmte Handlungen notwendig sind. Natürlich sind beide eng miteinander verbunden - dennoch gehören beide Punkte separat auf die OWASP Top 10 Liste. Beide bedingen einander, weshalb eine fehlende Authentifizierung fast immer zu einer mangelhaften Autorisierung führt. Diese Sicherheitslücken müssen Sie schnellstmöglich sichern, um Ihre sensiblen Unternehmensdaten vor ungewollten Zugriffen zu schützen.

7. Mangelhafte Client-Code-Qualität

Dieser Punkt der OWASP Top 10 bezieht sich auf eine explizite Programmiersprache. Sämtliche Schwachstellen aus Fehlern auf Codeebene können den Angreifern einen Weg ins Innere ermöglichen. Das Hauptrisiko liegt darin, dass Sie den Code lokalisiert ändern müssen. Insbesondere die unsichere Verwendung der API oder unsichere Sprach-Konstrukte sind ein häufiges Problem, dass Sie direkt auf Codeebene beseitigen müssen.

8. Code Manipulation

Aus einer technischen Perspektive ist jeder Code auf einem mobilen Gerät anfällig für Manipulation. Der Grund dafür ist, dass der mobile Code in einer fremden Umgebung ausgeführt wird. Er unterliegt nicht länger der Kontrolle Ihres Unternehmens. Deshalb gibt es zahlreiche Möglichkeiten, ihn nach Belieben zu modifizieren. Diese unbefugten Änderungen sollten Sie stets in Zusammenhang mit geschäftlichen Auswirkungen betrachten.

9. Reverse-Engineering

Angreifer, die die Funktionsweise Ihrer App verstehen möchten, können mittels Reverse-Engineering auf alle notwendigen Informationen zugreifen. Vor allem Metadaten, die eigentlich eine Erleichterung für Ihre Programmierer sein sollen, sind ein hohes Risiko. Grundsätzlich gilt die App als gefährdet, wenn man die Zeichenfolgen-Tabelle der Binärdatei klar verstehen kann oder funktionsübergreifende Analysen möglich sind.

10. Fremde Funktionalität

Versteckte Backdoor-Funktionen oder interne Sicherheitskontrollen sind ein häufiges Problem in mobilen Anwendungen. Das Problem daran ist, dass sie nicht nur für die Entwickler nützlich sind, sondern auch für Hacker. Dadurch können sie beispielsweise die 2-Faktor-Authentifizierung deaktivieren oder die grundlegende Funktionalität verändern.

Der OWASP Mobile Testing Guide: Leitfaden für eine bessere Mobile Security

Anwendungen mit dem OWASP-Framework gelten allgemein hin als sicher. Sobald Sie diesen Leitfaden verfolgen, profitieren Sie von einem höheren Sicherheitsstandard als er bei den meisten Apps vorliegt. Der Grundgedanke hinter dem OWASP Testing Guide ist es, Ihnen Prozesse, Techniken und Tools an die Hand zu geben. Diese können Sie wiederum für die Sicherheitstests Ihrer mobilen Apps nutzen. Die Inhalte vom OWASP Testing Guide sind keineswegs verpflichtend für Ihr Unternehmen. Dennoch ist es sinnvoll, auf dieses Expertenwissen zurückzugreifen, da der OWASP Mobile Application Testing Guide die Grundlage für Ihre App-Sicherheit darstellt.

Mobile Penetration Testing: Das können Pentests für mobile Anwendungen

Ein regelmäßiger Infrastruktur-Pentest ist die Grundlage für die Sicherheit Ihrer Anwendungen. Selbst Stand-alone Apps sollten Sie niemals isoliert betrachten, denn sie sind stets Teil eines Systems. Sobald Ihre mobile Anwendung mit einem Server kommuniziert, gilt es, Sicherheitslücken zu prüfen. Das gelingt am besten mit einem Infrastruktur-Pentest und einem gezielten Mobile Pentest. Die Grundlage für die Tests ist der OWASP-Mobile-Security-Testing Guide, der Ihnen dabei hilft, potenzielle Risiken frühzeitig aufzuspüren. Der genaue Ablauf hängt jedoch von Ihren konkreten Anforderungen ab, weshalb der OWASP-Mobile-Security-Testing-Guide eine Richtlinie darstellt, keine Verpflichtung.

Frida - Effizient, portabel und sicher

Frida ist ein Toolkit für Entwickler, Sicherheitsforscher und das Reverse-Engineering. Es ermöglicht die dynamische Instrumentierung und ist dabei skriptfähig, portabel und kostenlos. Fridas Ziel ist es, die nächste Generation der Entwicklertools zu stärken und mobile Applikationen sicherer zu gestalten. Die Grundlage dafür sind schnelle und umfassende Analysen im großen Umfang.

Gerne informieren wir Sie in folgenden Beiträgen auch zu anderen Themen:

• Die wichtigsten Sicherheitslücken in Web-Anwendungen: OWASP-Top-Ten
• Anwendungen mit dem OWASP-Framework