Apple App Store, Google Play und Co.

Wie sicher sind die App-Stores?

17.03.2013
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Ob die Installation einer App ein Risiko darstellt oder nicht, hängt entscheidend von den Sicherheitsprozessen im jeweiligen App-Store ab.
Ist ein App-Store nicht sicher, lohnt er sich weder für App-Anbieter noch für -Konsumenten.
Ist ein App-Store nicht sicher, lohnt er sich weder für App-Anbieter noch für -Konsumenten.
Foto: Cybrain, Fotolia.de

Der Erfolg mobiler Apps für Smartphones und Tablets lässt nicht nur die Zahl der App-Angebote ständig steigen. Auch die App-Marktplätze bekommen Zuwachs. Ein aktuelles Beispiel ist der Amazon Appstore for Android. Es stellt sich damit insbesondere für Android-Nutzer die Frage, welche Stores genutzt werden sollten. Für die Entscheidung spielt auch die Sicherheit des Stores eine gewichtige Rolle. Nach wie vor gibt es deutliche Unterschiede, auf die die Anwender achten sollten.

Gefährliche Schwachstellen in App-Stores

App-Stores bieten die Möglichkeit, Apps unter Tablet- und Smartphone-Nutzern zu verbreiten. Stimmen die Sicherheitsprozesse im App-Store nicht, können aber nicht nur seriöse App-Entwickler, sondern auch Datenspione und Internetkriminelle davon Gebrauch machen.

Regelmäßig werden Apps mit Spamming-, Spyware- und Malware-Charakter in verschiedenen App-Stores entdeckt. Das zeigt, dass Schwachstellen im Sicherheitskonzept von App-Stores aktiv ausgenutzt werden.

ENISA-Empfehlung teils nicht umgesetzt

ENISA (European Network and Information Security Agency) hatte bereits im September 2011 eine Empfehlung für Sicherheitsmaßnahmen in App-Stores veröffentlicht. Dazu gehören auf Seiten der App-Store-Betreiber insbesondere automatische bzw. manuelle App-Reviews, ein System zur Ermittlung und Anzeige der App-Reputation und eine sichere Anmeldung für App-Entwickler.

Die folgende Untersuchung nutzt die ENISA-Empfehlung als Referenz. Dabei zeigt sich, dass verschiedene App-Stores die empfohlenen Sicherheitsmaßnahmen nicht durchgehend umgesetzt haben - mit möglichen, kritischen Folgen für die App-Sicherheit.

1. Risiko: Falsche Identität des App-Entwicklers

Wenn ein App-Store die Identität des App-Entwicklers nicht ausreichend überprüft, helfen Reputation-Konzepte bei der Sicherheitsbewertung einer App wenig. Datendiebe können die Identität eines bekannten App-Entwicklers vortäuschen und in dessen Namen bösartige Apps über den unzureichend geschützten App-Marktplatz anbieten und verbreiten. Benutzerkonten für Entwickler garantieren zwar ohne weiteres nicht die Echtheit der Identität, erschweren aber die Übernahme der Identität eines bereits registrierten Entwicklers.

App-Anbieter registrieren sich bei Samsung Apps mit einem umfangreichen Profil und erhalten jeweils ein eigenes Benutzerkonto.
App-Anbieter registrieren sich bei Samsung Apps mit einem umfangreichen Profil und erhalten jeweils ein eigenes Benutzerkonto.
Foto: Oliver Schonschek

Um die Identität der Entwickler zu prüfen, verlangt Samsung Apps beispielsweise die Registrierung mit einem umfangreichen Profil und weist jedem App-Anbieter jeweils ein eigenes Benutzerkonto zu. Bei Google Play lassen sich Identitäten über die Zugangsdaten für das Google-Konto prüfen. Der App Store von Apple schließlich etzt für die Einreichung von Apps eine Apple ID für den Entwickler voraus. Die erschwert die Übernahme eines legitimen Entwicklerkontos.

Die Identität eines App-Entwicklers kann bei Google Play über die Zugangsdaten für das Google-Konto geprüft werden.
Die Identität eines App-Entwicklers kann bei Google Play über die Zugangsdaten für das Google-Konto geprüft werden.
Foto: Oliver Schonschek

Doch nicht alle Stores legen hier Wert auf Sicherheit: Der App-Marktplatz Mobiload zum Beispiel ermöglicht das Einreichen von Apps zur Veröffentlichung ohne eigenes Benutzerkonto für den Entwickler. Da keine Authentifizierung des Entwicklers beim Hochladen der App vorgesehen ist, kann nicht ohne weiteres festgestellt werden, ob eine neue App tatsächlich von einem bereits bekannten Entwickler stammt.