Drucksache: windows.developer Magazin 7.2015 - Wie sicher ist eine Cross-Plattform-Entwicklung eigentlich?
Im windows.developer 7.15 ist ein Artikel über die Sicherheit der Cross-Plattform-Entwicklung erschienen.
Cross-Plattform-Entwicklung - das ergibt ein Programm, das auf mehreren völlig unterschiedlichen Systemen läuft. Das läuft doch zwangsweise auf Kompromisse hinaus, unter denen am Ende bestimmt die Sicherheit des Programms leidet, oder? Oder sind die Cross-Plattform-Apps besonders sicher, weil die Frameworks sich um die Sicherheit kümmern?
Cross-Plattform-Technologien erhöhen die Angriffsfläche der Apps, und eine Schwachstelle in so einer Technologie betrifft alle sie nutzenden Apps.
Aber das gilt genau so auch für alle Bibliotheken, die native Apps nutzen.
Hat schon mal irgend jemand gefordert, aus Sicherheitsgründen auf Dritthersteller-Komponenten zu verzichten und alles selbst zu implementieren? Ich glaube nicht. Das wäre auch nicht besonders sicher, denn in vielen Fällen ist es besser, die Implementierung Spezialisten zu überlassen, da man selbst noch viel mehr Fehler und Schwachstellen machen würde.
Also: Nutzen Sie ruhig Cross-Plattform-Techniken. Ihre Programme werden dadurch auch nicht viel unsicherer, als sie es bei der Nutzung nativer Bibliotheken würden.
Achten Sie bei der Prüfung der fertigen App aber sicherheitshalber darauf, dass alle auf der jeweiligen Zielplattform verfügbaren Schutzmaßnahmen auch genutzt werden. Und das die App allgemein die Anforderungen an eine sichere App erfüllt, also zum Beispiel nur die wirklich benötigten Rechte für sich reklamiert. Manche Cross-Plattform-Frameworks sind in der Hinsicht recht freigiebig.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Marco Grassi, Sebastián Guerrero; Black Hat Asia 2015: "The Nightmare Behind the Cross Platform Mobile Apps Dream"
- [2] Simon Roses Femerling; Black Hat Asia 2014: "The Inner Workings of Mobile Cross-Platform Technologies"
- [3] Marco Grassi; ZeroNights 2014: "Steroids for your App Security assessments" (Paper als PDF und Video auf YouTube)
- [4] CVE-2014-3500
- [5] CVE-2014-3501
- [6] CVE-2014-3502
- [7] OWASP Top Ten Mobile Risks
- [8] Nathan Li, Loc Nguyen, Xing Li, James Just; Black Hat USA 2013: "How to Grow a TREE (Taint-enabled Reverse Engineering Environment) From CBASS (Cross-platform Binary Automated Symbolic-execution System)"
- [9] Kymberlee Price, Jake Kouns; Black Hat USA 2014: "Epidemiology of Software Vulnerabilities: A Study of Attack Surface Spread"
- [10] Carsten Eilers: "OpenSSL - Der Heartbleed Bug und seine Folgen"
- [11] phonegap/phonegap Wiki auf GitHub: "Platform Security"
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: Mobile Technology 3.2015 - Wie sicher sind Cross-Plattform-Apps?
Vorschau anzeigen