E-mail senden E-Mail Adresse kopieren
2020-04-03
Sebastian Klöckner

Versteckte Funktionen machen Apps für Hacker angreifbar

Ein Team von Cyber-Sicherheitsforschern des CISPA Helmholtz-Zentrums für Informationssicherheit in Saarbrücken, der Ohio State University und der New York University hat entdeckt, dass viele mobile Apps spezielle Funktionen vor den Nutzern verstecken, die Hackern den Zugriff auf das Mobiltelefon ermöglichen können und die die Sicherheit der Nutzer und der Infrastruktur der App gefährden.

In einer groß angelegten Studie hat das Cybersicherheitsforscher-Team, darunter CISPA-Faculty Giancarlo Pellegrino, schwerwiegende Sicherheitsprobleme in mehreren Handy-Anwendungen identifiziert. Dabei handelt es sich nicht um typischen Schwachstellen, die von den Programmierern versehentlich eingeführt wurden. „Diese Probleme sehen sehr beabsichtigt aus. Viele dieser Funktionen sind für den Benutzer versteckt oder verdeckt”, erklärt Pellegrino. „Sie ermöglichen anderen den Zugang zu privaten Daten oder blockieren Inhalte, die von den Benutzern zur Verfügung gestellt werden”.

Für diese Studie wurden 150.000 Apps ausgewertet. Untersucht wurden die 100.000 meist heruntergeladenen Apps aus dem Google Play-Store. Hinzu kommen noch die 20.000 meist downgeloadeten Apps aus einem alternativen App-Store und 30.000 vorinstallierten Apps auf verschiedenen Android-Smartphones.

Das Forscherteam fand heraus, dass 8,5 Prozent der Apps (12.706 Apps) etwas enthielten, das als „backdoor secret” bezeichnet werden kann. „Mit anderen Worten: Funktionen der mobilen Apps, die vor den Nutzern verborgen sind und mit speziellen Sequenzen oder Aktionen aktiviert werden können“, so CISPA-Forscher Pellegrino. Die Forscher fanden auch heraus, dass einige Apps eingebaute „Master-Passwörter“ haben. Diese erlauben jedem, der sie besitzt, den Zugang zu der App und allen darin enthaltenen privaten Daten. Einige Anwendungen wiederum haben geheime Zugangsschlüssel, die versteckte Optionen auslösen. „Unter anderem fanden wir auch Administrator-Schnittstellen, die mit geheimen Schlüsselsequenzen aktiviert werden können, um Zahlungen zu umgehen“, erklärt Pellegrino und fügt hinzu. “Das sind keine Ostereier, sondern Funktionalitäten, die erwartete Sicherheitsmechanismen außer Kraft setzen können. Wir haben zum Beispiel Anwendungen gefunden, die es erlauben, Daten mit einem Master-Passwort zu entsperren. Diese sind fest in der Anwendung codiert.“

„Sowohl Benutzer als auch Entwickler sind alle in Gefahr, wenn Kriminelle an diese ‘Hintertür-Geheimnisse’ gelangen“, sagt Ohio State University Professor Zhiqiang Lin in einem ausführlichen Artikel auf der Uni-Seite „The Ohio State University News“ zu dem gemeinsamen Forschungsprojekt. Angreifer könnten die Mobile Apps durch Reverse Engeneering zurückentwickeln, um sie zu entschlüsseln.

Qingchuan Zhao, Forschungsassistent am Ohio State und Hauptautor dieser Studie, sagte, dass Entwickler oft fälschlicherweise annehmen, dass das Reverse Engineering ihrer Apps keine Bedrohung darstellen würden.

Das Team fand außerdem weitere 4.028 Apps (2,7 Prozent), die Inhalte mit bestimmten Schlüsselwörtern, die der Zensur, dem Cyber-Mobbing oder der Diskriminierung unterliegen, blockierten. Dass Apps bestimmte Inhalte einschränken könnten, war für die Forscher nicht überraschend. Die Art und Weise, wie sie es taten, allerdings schon, erklärt Professor Lin in dem ausführlichen Bericht auf der Universitätshomepage. “Wir haben auch Apps gefunden, die die Zensur erzwingen, wenn bestimmte Wortlisten, z.B. von politischen Parteien oder Politikern nicht verwendet werden dürfen”, sagt Pellegrino.

Das Forscherteam hat ein Open-Source-Tool namens InputScope entwickelt, das Entwicklern helfen soll, Schwachstellen in ihren Anwendungen zu verstehen und zu zeigen, dass der Reverse-Engineering-Prozess vollständig automatisiert werden kann.

Weitere Autoren dieser Arbeit sind Chaoshun Zuo, ebenfalls Ohio State und Brendan Dolan-Gavitt, New York.

Die Studie wurde zur Veröffentlichung auf dem IEEE-Symposium 2020 über Sicherheit und Datenschutz im Mai angenommen. Die Konferenz ist aufgrund des globalen Coronavirus (COVID-19) abgesagt worden und findet nun online statt.