Drucksache: Mobile Technology 3.2015 - Wie sicher sind Cross-Plattform-Apps?
Im Magazin Mobile Technology 3.2015 ist ein Artikel über die Sicherheit von Cross-Plattform-Apps erschienen.
Um Verwirrungen vorzubeugen: Das ist zwar das gleiche Thema wie das des Artikels im Windows Developer 7.15, aber ein anderer Text. Wenn auch das unten wiedergegebene Fazit natürlich gleich ausfällt.
Eine App, die auf mehreren völlig unterschiedlichen Systemen läuft, kann doch nicht sicher sein, oder? Zumindest ja wohl nicht so sicher wie eine native App, die alle Funktionen des jeweiligen Systems optimal nutzen kann.
Cross-Plattform-Technologien erhöhen die Angriffsfläche der Apps, und eine Schwachstelle in so einer Technologie betrifft alle sie nutzenden Apps.
Aber das gilt genau so auch für die Bibliotheken, die von nativen Apps verwendet werden. Und es käme wohl niemand auf die Idee, aus Sicherheitsgründen auf Dritthersteller-Komponenten zu verzichten und alles selbst zu implementieren. Das wäre auch nicht besonders sicher, denn in vielen Fällen ist es besser, die Implementierung Spezialisten zu überlassen, da man selbst noch viel mehr Fehler und Schwachstellen machen würde.
Also: Nutzen Sie ruhig Cross-Plattform-Techniken. Ihre Apps werden dadurch auch nicht viel unsicherer, als sie es bei der Nutzung nativer Bibliotheken würden.
Achten Sie bei der Prüfung der fertigen App aber sicherheitshalber darauf, dass auch wirklich alle auf der jeweiligen Zielplattform verfügbaren Schutzmaßnahmen genutzt werden. Und das die App allgemein die Anforderungen an eine sichere App erfüllt, also zum Beispiel nur die wirklich benötigten Rechte für sich reklamiert. Manche Cross-Plattform-Frameworks sind in der Hinsicht recht freigiebig.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Android im Visier der Cyberkriminellen"; Mobile Technology 1.2014
- [2] Marco Grassi, Sebastián Guerrero; Black Hat Asia 2015: "The Nightmare Behind the Cross Platform Mobile Apps Dream"
- [3] Simon Roses Femerling; Black Hat Asia 2014: "The Inner Workings of Mobile Cross-Platform Technologies"
- [4] Marco Grassi; ZeroNights 2014: "Steroids for your App Security assessments" (Paper als PDF und Video auf Youtube)
- [5] Frida
- [6] CVE-2014-3500
- [7] CVE-2014-3501
- [8] CVE-2014-3502
- [9] OWASP Top Ten Mobile Risks
- [10] Nathan Li, Loc Nguyen, Xing Li, James Just; Black Hat USA 2013: "How to Grow a TREE (Taint-enabled Reverse Engineering Environment) From CBASS (Cross-platform Binary Automated Symbolic-execution System)"
- [11] Kymberlee Price, Jake Kouns; Black Hat USA 2014: "Epidemiology of Software Vulnerabilities: A Study of Attack Surface Spread"
- [12] Carsten Eilers: "OpenSSL - Der Heartbleed Bug und seine Folgen"
- [13] phonegap/phonegap Wiki auf GitHub: "Platform Security"
- [14] Carsten Eilers: "Mobile Geräte im Visier"; Mobile Technology 3.2012
- [15] Carsten Eilers: "Androids Sicherheit aus Forschersicht"; Mobile Technology 3.2014
Trackbacks
Dipl.-Inform. Carsten Eilers am : XSS-Angriffe, Teil 14: Das Browser Exploitation Framework BeEF
Vorschau anzeigen