Industrie 4.0 und ihre neuen Spielzeuge

In modernen Pro­­­du­k­­tions- und Fer­ti­gungs­stätten haben spe­ziell dafür ent­wi­ckelte Apps die Industrie 4.0 in den letzten Jahren revo­lu­tio­niert. Durch immer neuere Apps für unter­schied­liche Pro­duk­ti­ons­ein­sätze werden die Ein­satz­ge­biete dem­entspre­chend viel­fäl­tiger. Betrachtet man die Apps einmal genauer, so wird man fest­stellen, dass es sich um teil­weise sehr kom­pli­zierte Pro­gramme handelt. Diese stellen neben Echt­zeit­be­rech­nungen zudem noch kom­plexe Gra­phiken dar, die unmit­telbar zu Ent­schei­dungen in der Pro­duktion führen können. Dieser Zusam­menhang ist auch Cyber­kri­mi­nellen nicht ver­borgen geblieben und so droht den Unter­nehmen auf­grund von feh­ler­hafter, fahr­läs­siger und schlam­piger Pro­gram­mierung oder durch gezielte Ein­schleusung von Schadcode ein völlig neues Gefährdungspotential.

Was sind die häu­figsten Sicher­heits­lücken bei Apps?

• Unsi­cherer Daten­speicher: Wichtige Daten werden unge­schützt gespei­chert. Dies gilt sowohl für Daten die lokal als auch in der Cloud gespei­chert werden. Berech­ti­gungen werden nicht oder falsch gesetzt.

• Unzu­rei­chender Schutz des Über­tra­gungs­weges: Daten werden nicht oder nur unzu­rei­chend ver­schlüsselt über­tragen.  Das heißt, Daten können mit­ge­lesen oder ent­schlüsselt werden.

• Unzu­rei­chende Auto­ri­sierung und Authen­ti­fi­zierung: Der Zugriff auf bestimmte Bereiche ist jederzeit möglich.

• Benut­zername und Passwort werden unver­schlüsselt über­tragen: Diese Infor­ma­tionen können in einem öffent­lichen WLAN-Netz leicht aus­ge­lesen werden.

• Erzwungene Erteilung von Frei­gaben bei der Nutzung bestimmter Dienste: Es erfolgt ein Aus­spio­nieren von pri­vaten Daten inklusive Aus­wertung von Benut­zer­sta­tis­tiken sowie Wei­tergabe von Geräteposition/Standortdaten.

Wer sich näher mit diesem Thema beschäf­tigen möchte, findet einen sehr guten und tech­nisch tiefen Über­blick über die wich­tigsten Schwach­stellen von Mobile Apps im OWASP Mobile Security Project .

Kommen wir nun zum Ergebnis eines exem­pla­ri­schen Tests des ifAsec Insti­tutes für Appli­ka­ti­ons­si­cherheit. Die Unter­su­chung der App aus dem Umfeld der Industrie 4.0 hat deutlich gemacht, dass auch bei größter Sorgfalt seitens der Ent­wickler der Code immer noch mit Schwach­stellen ver­sehen war. Das ifAsec hat mittels eines Quick Checks die fol­genden Schwach­stellen analysiert:

Neben einer kor­rekten SSL-Imple­­men­­tierung des selbst­si­gnierten Zer­ti­fi­kates des Ent­wicklers und einer ord­nungs­ge­mäßen Inter­­prozess-Kom­­mu­­ni­­kation hat der Angreifer die Mög­lichkeit, mit Zugriff auf das System-Log die aktuelle Session ID zu stehlen und die Session zu übernehmen.

Pass­wörter werden dabei lokal gespei­chert und auch ver­schlüsselt. Die Schlüssel werden aber aus der Kom­bi­nation einer zugreif­baren Device-ID und einem wei­teren Schlüssel ermittelt. Letz­terer ist im APK-File in den Raw-Daten gespei­chert und so für alle zugreifbar, die das APK-File her­un­ter­ge­laden haben. Im Klartext heißt das: Der Schlüssel ist relativ leicht zu bestimmen und somit bringt die Ver­schlüs­selung wenig zusätz­liche Sicherheit.

Nun gilt es, diese Schwach­stellen seitens des Ent­wicklers aus dem Quell-Code zu besei­tigen und mittels eines abschlie­ßenden Tests nochmals zu prüfen.

Die häu­figsten Fragen zum Thema mobile App Sicherheit

Zum Schluss noch eine kleine Zusam­men­stellung der häu­figsten Fragen, die mir zum Thema mobile Sicherheit in den letzten Wochen gestellt wurden.

• Sind die Apps der Shop-Betreiber über­haupt sicher?
  In den App-Shops befinden sich über 2 Mil­lionen Apps. Es ist illu­so­risch davon aus­zu­gehen, dass die Shop-Betreiber alle Apps auf Sicher­heits­lücken oder Schad­software hin unter­sucht haben. Das ist nicht möglich. Es werden rudi­mentäre Test durch­ge­führt  — aber auch nicht nach jedem Update. Hier ergeben sich viele Mög­lich­keiten für die Pro­gram­mierer zum Ein­schleusen von Schadsoftware.
   
• Lassen sich Sicher­heits­lücken vermeiden?
  Pro­gramme werden von Men­schen mit unter­schied­lichem Wissen, Fähig­keiten und Fer­tig­keiten geschrieben, deshalb werden Fehler immer ent­stehen. Apps kosten in der Regel nicht sehr vie­loder sind meistens kos­tenlos. Hier gibt es die einzige Mög­lichkeit, dass die App vor dem Einsatz von einer unab­hän­gigen Insti­tution getestet und im Ide­alfall mit einem ent­spre­chenden Zer­ti­fikat ver­sehen wird. Das gilt aber nur für die aktuelle Version!
   
• Kann ein Nutzer seine App auch selber testen?
  Nein – defi­nitiv nicht. Dafür ist ein Exper­ten­wissen in der jewei­ligen Pro­gram­mier­um­gebung not­wendig. Diese hat der normale Anwender in der Regel nicht. Im Nor­malfall kann er sich nur auf die Angaben ver­lassen, die ihm die App zur Ver­fügung stellt oder jene, die im Shop des Anbieters hin­terlegt sind. Besonders gra­vierend ist dabei, dass oftmals nach Updates die Rechte der App erweitert werden, ohne dass der Nutzer explizit darauf hin­ge­wiesen wird. So werden diese dann einfach ohne wei­teres akzep­tiert – even­tuell zum Nachteil des Nutzers.
   
• Wie  sollten Apps heute getestet werden?
  Es gibt zurzeit diverse Tools auf dem Markt, mit denen sich mobile Apps auf Sicher­heits­lücken testen lassen. Wir haben in einer Unter­su­chung her­aus­ge­funden, dass nur eine geringe Anzahl von Tools, zumeist sind das die teu­reren, den hohen tech­ni­schen Ansprüche genügen. Ohne eine weitere Bewertung der Schwach­stellen durch Exper­ten­wissen ist aber an dieser Stelle davon abzu­raten. Des Wei­teren gehört hierzu auch ein ent­spre­chender Funk­ti­onstest, um den Nachweis über das Kom­mu­ni­ka­ti­ons­ver­halten erbringen zu können. Sind alle Kri­terien erfüllt, sollte die App in der aktu­ellen Version zer­ti­fi­ziert werden.

Lesen Sie mehr:

Sicher­heits­über­prü­fungen von mobilen Apps, Teil 1: Wer ist eigentlich für die Sicher­heits­kon­trollen von Apps verantwortlich?

Bild: © aey / Fotolia.com