Foto: Cybrain, Fotolia.de
Der Erfolg mobiler Apps für Smartphones und Tablets lässt nicht nur die Zahl der App-Angebote ständig steigen. Auch die App-Marktplätze bekommen Zuwachs. Ein aktuelles Beispiel ist der Amazon Appstore for Android. Es stellt sich damit insbesondere für Android-Nutzer die Frage, welche Stores genutzt werden sollten. Für die Entscheidung spielt auch die Sicherheit des Stores eine gewichtige Rolle. Nach wie vor gibt es deutliche Unterschiede, auf die die Anwender achten sollten.
Gefährliche Schwachstellen in App-Stores
App-Stores bieten die Möglichkeit, Apps unter Tablet- und Smartphone-Nutzern zu verbreiten. Stimmen die Sicherheitsprozesse im App-Store nicht, können aber nicht nur seriöse App-Entwickler, sondern auch Datenspione und Internetkriminelle davon Gebrauch machen.
Regelmäßig werden Apps mit Spamming-, Spyware- und Malware-Charakter in verschiedenen App-Stores entdeckt. Das zeigt, dass Schwachstellen im Sicherheitskonzept von App-Stores aktiv ausgenutzt werden.
ENISA-Empfehlung teils nicht umgesetzt
ENISA (European Network and Information Security Agency) hatte bereits im September 2011 eine Empfehlung für Sicherheitsmaßnahmen in App-Stores veröffentlicht. Dazu gehören auf Seiten der App-Store-Betreiber insbesondere automatische bzw. manuelle App-Reviews, ein System zur Ermittlung und Anzeige der App-Reputation und eine sichere Anmeldung für App-Entwickler.
Die folgende Untersuchung nutzt die ENISA-Empfehlung als Referenz. Dabei zeigt sich, dass verschiedene App-Stores die empfohlenen Sicherheitsmaßnahmen nicht durchgehend umgesetzt haben - mit möglichen, kritischen Folgen für die App-Sicherheit.
- App-Stores im Security-Check
Wie sicher sind die App-Stores von Apple, Google, Samsung, RIM, Nokia, Opera oder Microsoft? Wir haben die Marktplätze auf diverse Security-Features getestet. - Mobiload: App Developer
Der App-Marktplatz Mobiload zum Beispiel ermöglicht das Einreichen von Apps zur Veröffentlichung ohne eigenes Benutzerkonto für den Entwickler. Da keine Authentifizierung des Entwicklers beim Hochladen der App vorgesehen ist, kann nicht ohne weiteres festgestellt werden, ob eine neue App tatsächlich von einem bereits bekannten Entwickler stammt. - Samsung Apps: Developer
App-Anbieter registrieren sich bei Samsung Apps mit einem umfangreichen Profil und erhalten jeweils ein eigenes Benutzerkonto. - Google Play: App Developer
Die Identität eines App-Entwicklers kann bei Google Play über die Zugangsdaten für das Google-Konto geprüft werden. - Apple: App Developer
Der App Store von Apple setzt für die Einreichung von Apps eine Apple ID für den Entwickler voraus. Die erschwert die Übernahme eines legitimen Entwicklerkontos. - Windows Phone: Anmeldung
Die Anmeldung der Entwickler im App Hub (Windows Phone Apps) erfolgt verschlüsselt, um ein Abhören der Zugangsdaten zu verhindern. - Soc.io Mall: Anmeldung
Die Verschlüsselung der Anmeldeseite für die Entwicklerkonten von Soc.io Mall erfolgt nur teilweise. - Samsung Apps: Anmeldung
Die Anmeldung als Entwickler oder Anbieter bei Samsung Apps erfolgte im Test ohne Verschlüsselung. - Opera: Anmeldung
Auch die Anmeldung als Entwickler im App-Store von Opera sah im Test keine Verschlüsselung vor. - BlackBerry: Anmeldung
Entwickler im App Store von BlackBerry (BlackBerry App World) benötigen zur Anmeldung eine BlackBerry ID. Die Anmeldung erfolgt verschlüsselt. - Apple: App-Reputation
Anonyme, nicht nachvollziehbare Bewertungen werden im App Store von Apple dadurch vermieden, dass sich der Nutzer zuerst mit seiner Apple ID anmelden muss. - Google Play: App-Reputation
Auch Google Play fordert eine Anmeldung für Erfahrungsberichte über Apps. Dies erschwert das Erzeugen gefälschter Bewertungen und erhöht den Wert einer guten App-Reputation. - Mobiload: App-Reputation
Bei Mobiload kann ein Rating für Apps ohne jede Anmeldung vergeben werden. - SlideME: App-Reputation
Während Ratings bei SlideME ohne Anmeldung anonym möglich sind, setzen Kommentare eine Anmeldung voraus. Ratings haben hier also eine geringere Aussagekraft als bei Marktplätzen, die die Vergabe von „Sternen“ nur angemeldeten Nutzern erlauben. - Amazon: App-Reputation
Der App Store von Amazon nutzt das von Amazon bekannte Verfahren für Bewertungen, setzt dafür also ein Benutzerkonto voraus. - Samsung Apps: Reputation
Bei Samsung Apps ist eine App-Bewertung ohne Anmeldung nicht möglich. - Opera: App-Reputation
Der App Store von Opera setzt für das Rating einer App keine Anmeldung voraus. - Nokia: App-Reputation
Der App Store von Nokia setzt eine Anmeldung voraus, wenn man eine App bewerten möchte. - OpenAppMkt: App-Reviews
Der App-Marktplatz OpenAppMkt sieht in der Beschreibung des Registrierungsprozesses für neue Apps kein internes Review vor. - AndroidPIT: App-Reviews
Bei AndroidPIT kann man einen kostenpflichtigen App-Test freiwillig anfordern. - Windows Phone: App-Reviews
Microsoft betreibt ein Zertifizierungsprogramm für die Windows Phone Apps.
1. Risiko: Falsche Identität des App-Entwicklers
Wenn ein App-Store die Identität des App-Entwicklers nicht ausreichend überprüft, helfen Reputation-Konzepte bei der Sicherheitsbewertung einer App wenig. Datendiebe können die Identität eines bekannten App-Entwicklers vortäuschen und in dessen Namen bösartige Apps über den unzureichend geschützten App-Marktplatz anbieten und verbreiten. Benutzerkonten für Entwickler garantieren zwar ohne weiteres nicht die Echtheit der Identität, erschweren aber die Übernahme der Identität eines bereits registrierten Entwicklers.
Foto: Oliver Schonschek
Um die Identität der Entwickler zu prüfen, verlangt Samsung Apps beispielsweise die Registrierung mit einem umfangreichen Profil und weist jedem App-Anbieter jeweils ein eigenes Benutzerkonto zu. Bei Google Play lassen sich Identitäten über die Zugangsdaten für das Google-Konto prüfen. Der App Store von Apple schließlich etzt für die Einreichung von Apps eine Apple ID für den Entwickler voraus. Die erschwert die Übernahme eines legitimen Entwicklerkontos.
Foto: Oliver Schonschek
Doch nicht alle Stores legen hier Wert auf Sicherheit: Der App-Marktplatz Mobiload zum Beispiel ermöglicht das Einreichen von Apps zur Veröffentlichung ohne eigenes Benutzerkonto für den Entwickler. Da keine Authentifizierung des Entwicklers beim Hochladen der App vorgesehen ist, kann nicht ohne weiteres festgestellt werden, ob eine neue App tatsächlich von einem bereits bekannten Entwickler stammt.