Mobile App-Sicherheit: Bedrohungen, Trends und was uns erwartet

Kürzlich haben wir in Zusammenarbeit mit Promon Research den sehr aktuellen Bericht OneSpan Global Mobile App Security Vulnerabilities Report - The State of Mobile App Repackaging veröffentlicht. Das Studienteam testete 384 der weltweit beliebtesten Finanz-Apps in den Bereichen Banking, Krypto, Zahlungen, Finanzdienstleistungen und mehr, um ihre Anfälligkeit für Repackaging-Angriffe zu bewerten.

Bei Repackaging-Angriffen wird Code in eine App eingefügt oder der vorhandene Code einer Anwendung geändert und dann in eine Anwendung gepackt, die ausgeführt werden kann. Sie sind ein grundlegender Ausgangspunkt, um bestehende In-App-Sicherheitsmaßnahmen zu entfernen und einen einfachen Zugriff für das Reverse Engineering von proprietärem Code und geistigem Eigentum zu ermöglichen.

Ich habe mit dem Field CTO von OneSpan, Dan McLoughlin, über die Ergebnisse des Berichts und wichtige Zusammenhänge und Erkenntnisse gesprochen. Die Aufzeichnung finden Sie unten und es folgt ein leicht bearbeitetes Transkript.

 

Unternehmen sind mit so vielen Sicherheitsbedrohungen konfrontiert. Weshalb sollte die Sicherheit mobiler Apps Priorität erhalten? Und weshalb gerade jetzt? 

„Für die Mehrheit der Kunden ist die mobile App der erste Berührungspunkt und die erste Präsentation eines Unternehmens, daher ist es wirklich wichtig, dass die eigene mobile App gut funktioniert. Viele Menschen wenden viel Zeit und Geld auf, um sicherzustellen, dass das Benutzererlebnis gut ist. Leider bedeutet das manchmal, dass Dinge wie Sicherheit vernachlässigt werden. Vertrauen ist genauso wichtig.“

„Darüber hinaus kann es zu enormen Rufschäden führen, wenn über eine App Daten oder potenziell sogar Gelder gestohlen werden können. Ich denke, der Grund, weshalb wir jetzt die Sicherheit von Apps in den Vordergrund stellen müssen, ist, dass man sowohl das Vertrauen als auch den Ruf erhalten muss.“

Die Studie zeigt, dass rund 6 von 10 Finanz-Apps anfällig für Repackaging-Angriffe sind. Was ist der Grund für diese Anfälligkeit?

„Ich denke, das liegt an der Art und Weise, wie sich mobile Anwendungen entwickelt haben. Wenn man sich Dinge wie den Finanzsektor ansieht, hat es Jahre gedauert, bis Online-Banking wirklich beliebt wurde, dann aber lediglich ein paar Monate, bis das mobile Banking dieses Niveau erreicht hat. Es gab also ein Bedürfnis für schnelle App-Entwicklungen im Finanzsektor.

Bei manchen traditionellen Methoden für mobile App-Sicherheit geht es um Daten im Ruhezustand und Datenschutz im Ruhezustand – daher sehen wir uns Dinge wie Verschlüsselung und Code-Verschleierung an, und diese sind wirklich wichtig. Aber das vernachlässigt ein weiteres, wirklich wichtiges Element, nämlich, dass eine App auch anfällig ist, wenn sie gerade ausgeführt wird.

„Ein weiterer Punkt ist, dass die mobile App das Schaufenster ist, wie wir bereits gesagt haben, und sie ist der wichtigste Datenpunkt, den viele Menschen in Bezug auf die Art und Weise haben, wie sie mit einem Unternehmen arbeiten. Es ist also sehr wichtig, dass die Benutzerfreundlichkeit hoch ist. Und da Entwickler mobiler Apps nicht immer Sicherheitsexperten sind, integrieren sie möglicherweise nicht alle Sicherheitsfunktionen, die Ihre mobile Anwendung benötigt.

Außerdem waren einige der Abschirmungstechniken, mit denen sich Anwendungen schützen lassen, in der Vergangenheit schwer zu verwenden, was die Menschen möglicherweise abgeschreckt hat. Sie wollen das Benutzererlebnis nicht beeinträchtigen, also sind vielleicht auch einige falsche Vorstellungen darüber, wie man eine App richtig sichert, ohne die Benutzerfreundlichkeit zu verändern, Teil des Problems.“

Was empfehlen Sie daher? Was können App-Entwickler tun, um ihre mobilen Apps abzusichern?

„Zuallererst sollten sie die Best-Practice-Standards einhalten. Bei Unternehmen wie NIST erhält man Informationen zu den Best Practices für Sicherheit im Allgemeinen, und man kann auch Tools von Apple und Google verwenden, die auch Sicherheitstools bereitstellen.

Aber realistisch ist eher Folgendes: Sprechen Sie mit Sicherheitsexperten. Diese sind dafür verantwortlich, Dinge abzusichern und sicherzustellen, dass Ihre Anwendungen sicher sind. Ich weiß, dass es manchmal beängstigend erscheint, weil die Leute sich Sorgen um ein schlechteres Benutzererlebnis machen, wenn man Sicherheitsfunktionen hinzufügt. Aber das ist nicht immer der Fall. Wir können die Sicherheit erhöhen, ohne die Benutzerfreundlichkeit zu beeinträchtigen – manchmal verbessert die Erhöhung der Sicherheit auch die Benutzerfreundlichkeit. Es ist also wirklich wichtig, mit Fachleuten zu sprechen, die es gewohnt sind, solche Arbeiten zu erledigen, und die den Prozess hierfür verstehen. Was wirklich wichtig ist, ist die Verbindung von Benutzererlebnis und Sicherheit.“

Wie sollten Unternehmen über diese taktische Anpassung hinaus ihre Strategie für den mobilen Kanal ändern?

„Die mobile App ist das Schaufenster, das ein Unternehmen der Welt präsentiert, also muss seine Strategie wirklich um dieses mobile Erlebnis herum entwickelt werden, und die App beeinflusst auch den Ruf, wie wir bereits erwähnt haben. Man muss daran denken, dass Kunden die App häufig verwenden. Sie wollen nicht unbedingt das Gefühl haben, dass die Dinge eingreifend sind, aber sie wollen auch das Gefühl haben, dass ein gewisses Sicherheitsniveau besteht. Das ist die andere Sache: Die Benutzer werden erwarten, dass sie geschützt sind. Sie erwarten nicht, Daten oder Gelder oder irgendetwas über eine mobile App zu verlieren. Sie betrachten diese als Umgebung des Anbieters in ihrem eigenen mobilen Gerät.

Wenn ich also eine Banking-App verwende, erwarte ich, dass diese Anwendung mich und alle Gelder, auf die ich über diese Anwendung zugreife, schützt. Gleiches gilt für andere Anwendungen, in denen ich gerade Daten gespeichert habe, usw. Wir haben dieses inhärente Vertrauen in die Anbieter, diese Sicherheit zu bieten, und deshalb sollten Finanzinstitute bei der Entwicklung von Anwendungen immer daran denken: Ihre Kunden erwarten das von Ihnen, und wenn Sie dieses Vertrauen verlieren, verlieren Sie Ihre Kunden.“

Können Sie uns ein Gefühl für die mobile Bedrohungslandschaft vermitteln und dafür, was uns im kommenden Jahr erwartet?

„Ich erwarte mehr Datenverluste. Wir sehen es ständig in den Nachrichten: Datenverluste über alle Arten verschiedener Mechanismen, und mobile Geräte sind keine Ausnahme. So wie es für uns das beste Tor ist, um Zugang zu unseren Daten zu erhalten, ist es auch ein Tor für böswillige Akteure, die versuchen, Zugang zu Daten zu erlangen. Wir müssen also wirklich vorsichtig sein. Die Ziele werden nicht nur im Finanzsektor liegen – Daten sind genauso wichtig. Wir haben das immer wieder erlebt, und es wird auch im nächsten Jahr ein Faktor sein.

„Der Zugriff auf Ihre Daten ermöglicht bis zu einem gewissen Grad den Zugriff auf eine Identität. Also müssen wir auch hier wirklich vorsichtig sein. Wenn man über die mobile App Zugriff erhalten kann, erhält man Zugriff auf Daten, die man dann verwenden kann, um auf andere Dinge zuzugreifen, und auf diese Weise geschieht das häufig.

„Wir werden auch mehr Laufzeitangriffe in den mobilen Apps selbst erleben. Es wird nicht nur die App sein, die auf einem Telefon läuft, und das Telefon das Angriffsziel ist. Es wird die Anwendung selbst sein, während sie läuft. Denn bei einer laufenden App gibt es Schwachstellen und wir müssen dies genauso schützen wie im Ruhezustand.“

Welche Trends sehen Sie, die uns helfen können zu verstehen, was in 5 oder 10 Jahren auf uns zukommt?

„Wenn wir in die Kristallkugel schauen, müssen wir darüber nachdenken, wo das Web3 ins Spiel kommt. Wir beginnen, Elemente davon zu sehen. Es gibt die Blockchain, die Kryptowelt befindet sich im Moment in einer seltsamen Situation, mit sehr hochkarätigen Börsenzusammenbrüchen usw. Aber die zugrundeliegende Technologie ist immer noch ein grundlegender Bestandteil dessen, was das Internet vorwärts bringt, und es gibt kein Problem mit der eigentlichen zugrundeliegenden Technologie. Wir werden also mehr Dinge wie Wallets und selbstverwaltete Identitäten sehen, bei denen man die Verantwortung für seine eigene Identität übernimmt und die Blockchain verwendet, um diese zu verifizieren.

„Wir sehen das kommen, aber wir haben es schon lange kommen sehen, also ist es schwierig zu sagen, dass es in 5 oder 10 Jahren so weit sein wird – das eigentliche Hindernis ist wieder die Benutzerfreundlichkeit. Man kann bereits jetzt alles in Web3 machen, aber man muss sich wirklich mit dieser Technologie beschäftigen und genau verstehen, wie man sie verwendet. Es gibt derzeit keine einfache Benutzeroberfläche für Web3-Technologien, und genau dort befinden wir uns, in einer Art Web 2.5, wie die Leute es nennen, wo wir wunderbare Benutzererlebnisse für die Technologien haben, die bereits existieren. Die Leute sind nicht bereit, diese Benutzerfreundlichkeit aufzugeben. Wir werden diese Dinge also in Zukunft erleben – es ist einfach schwer zu sagen, wann.

„Einige der anderen Dinge, die wir in Zukunft sehen werden, betreffen vertrauenswürdige Identitäten. Identität wird in Zukunft eine große Sache sein. Verantwortlichkeit auch. Und das gilt für den sozialen Bereich ebenso wie für wichtige Finanztransaktionen. Zurzeit gibt es so viele Betrugsfälle durch Nachahmung und Social Engineering, dass es sehr wichtig sein wird, dass die Nachahmung online sehr schwierig ist, so dass die Menschen ihre Identität in verschiedenen Situationen nachweisen können.

Wenn man sich heute für eine Finanz-App registriert, muss man eine Art Identitätsnachweis durchlaufen. Aber in Zukunft kann man vielleicht in sozialen Apps, Dating-Apps usw. nicht mehr so viel tun, es sei denn, man gibt seine vollständige Identität an diese Anwendung weiter, um Personen zu schützen usw. und entfernt nur einen Teil der Online-Anonymität. Das ist ein schwieriger Bereich, denn viele Menschen wollen die Privatsphäre bewahren. Und ich denke, das wird im Laufe der Jahre passieren: Wir werden diesen Balanceakt sehen, bei dem es notwendig ist, seine Identität nachzuweisen. Möglicherweise wird man bestimmte Dinge in einem sozialen Erlebnis anonym nutzen können.

„Aber wenn man aktiv werden oder eine andere Ebene betreten möchten, muss möglicherweise eine Identität angegeben werden. Wir werden also in den nächsten 5 Jahren verschiedene Arten von Identitätsnachweisen und Mechanismen für das Vertrauen in die Identität sehen, und möglicherweise sogar Identitätsaggregation. Wir sehen bereits jetzt, dass man in bestimmten Ländern eine Identitätsbereitstellung erhalten kann, beispielsweise in Belgien. Vielleicht erleben wir eine Aggregation von Identitäten, bei der Unternehmen einem helfen können, seine vertrauenswürdige Identität in einem Bereich zu verwenden, um dieses Vertrauen woanders wieder zu aktivieren – eine Aggregation Ihrer verschiedenen Identitäten und Ihrer selbstverwalteten Identität, weil auch hierbei ein Element des Vertrauens erforderlich ist.“

Jetzt herunterladen: OneSpan Global Mobile App Security Vulnerabilities Report - The State of Mobile App Repackaging