Projekt

ZertApps – Projektbeschreibung

Die starke Zunahme der Verbreitung von Smartphones und die leicht installierbaren Anwendungen (Apps) bergen durch die große Anzahl, oft unbekannter, Anbieter sowohl für den Privatanwender, wie auch für die Nutzung in Unternehmen, deutliche Risiken. Dass Schwachstellen verstärkt in Apps auftreten, zeigen die aktuellen Berichte über Sicherheitsprobleme des WhatsApp-Messengers und die fehlerhafte Implementierung der SSL-Verschlüsselung quer durch einen großen Anteil von sicherheitskritischen Apps.

Loading the player...

Derzeit verwendete Verfahren, um Apps auf Sicherheitslücken zu überprüfen, sind bisher noch nicht ausreichend und können leicht umgangen werden. So können Apps bspw. erkennen, dass sie auf Sicherheitslücken geprüft werden und sich zu diesem Zeitpunkt als harmlos tarnen, um erst später im echten Betrieb Schaden zu verursachen. Auch die Vergabe von Prüfsummen oder statistischen Auswertungen kann durch Veränderungen am Programcode leicht umgangen werden. Hinzu kommt, dass Apps auch untereinander kommunizieren und so mit existierenden Mechanismen nicht erkannt werden können Des Weiteren werden verbinden die meisten Apps plattformspezifische Frameworks (z.B. für Android oder IOS) mit plattformunabhängigen HTML5 und JavaScript (in WebViews). Um die Sicherheit solcher hybrider Apps bewerten zu können, müssen die unterschiedlichen Sicherheitsmodelle zusammengeführt und Datenflüsse über die Technologiegrenzen hinweg bewerten werden.

Zusammenfassend kann man sagen, dass die Unbedenklichkeit von Apps mit bestehenden Techniken nicht garantiert werden kann. Ziel des Forschungsprojektes ZertApps ist es, das Thema „Sicherheitsanalyse von mobilen Anwendungen“ grundlegend und umfassend zu bearbeiten und eine Analyse- und Zertifizierungsplattform für Apps zu entwickeln. Dabei soll die gesamte Lieferkette von der Entwicklung zur Bereitstellung von Apps abgedeckt werden und Zertifikate für die Unbedenklichkeit von Apps vergeben werden. Die Konzentration liegt dabei zunächst auf dem Android Betriebssystem, aber es ist geplant, die Erkenntnisse auf iOS zu übertragen.

Im Rahmen dieses Projekts planen ist geplant, statische Vorabanalysen für Apps mit dynamischen Analysen auf dem Gerät selbst zu kombinieren. Hier kann eine Malware-App der Erkennung nicht mehr entgehen: Ein Angriff wird spätestens dann erkannt, wenn er zur Ausführung kommt. Die dynamischen Analysen werden hierbei statisch optimiert; wenn eine App von sich aus so programmiert wurde, dass sie einer Sicherheitsrichtlinie (in Teilen) beweisbar genügt, werden dynamische Überprüfungen dieser Richtlinie (in diesen Teilen) unterlassen. Zusätzlich soll technologieübergreifende Sicherheitsanalyse zu entwickelt werden, welche hybride Apps in ihrer Gesamtheit untersucht. Die unterschiedlichen Kommunikationswege eines Smartphones mit der Außenwelt wie z.B. Internet, SMS/MMS, Bluetooth oder Near Field Communication (NFC) machen die Aufgabenstellung komplexer, aber auch interessanter.

Das Konsortium ist hervorragend aufgestellt, um diese herausfordernden Ziele erfolgreich zu bearbeiten. Zum einen wird die oben erwähnte Lieferkette vollständig abgedeckt, da mit OTARIS ein App-Hersteller, mit datenschutz cert ein Prüflabor (mit mehrjähriger Erfahrung im Bereich der Common Criteria) und mit SAP ein Markbetreiber (SAP Enterprise App Store) und Anbieter einer Device Management Lösung (SAP Afaria und SAP Mobile Platform) am Projekt beteiligt sind. Zum anderen können die Forschungspartner eine profunde Expertise in der jeweiligen Thematik vorweisen. Das BSI hält die Projektidee für relevant und hat sich bereit erklärt, an dem Projekt beratend mitzuwirken.


Laufzeit: 01.01.2014 – 31.12.2015
Projektpartner: OTARIS Interactive Services GmbH, datenschutz cert GmbH, SAP AG, Fraunhofer-Institut für Sichere Informationstechnologie SIT, TU Darmstadt
Förderer: BMBF