OneSpan Blog

Vertrauen schaffen durch Abschirmung und Härtung von mobilen Anwendungen

Sicherheit mobiler Apps
Will LaSala,

Wir veranstalten regelmäßig Webcasts zu Themen wie Mobile App Shielding, Betrug, Authentifizierung, RASP und Risikoanalyse, um Ihnen zu zeigen, wie Sie Ihre Kunden und Daten schützen können. Wenn Sie unseren letzten Webcast "Delivering Trust Through Mobile App Shielding and Hardening" verpasst haben, finden Sie hier eine 5-minütige Zusammenfassung. Die vollständige Präsentation ist als On-Demand-Version verfügbar.

Mit der zunehmenden Verbreitung von mobilen Geräten und Apps sind Unternehmen zunehmend besorgt über die Bedrohungen, die der Wechsel zu einer mobilen Plattform mit sich bringt. Laut einer Verizon-Umfrage aus dem Jahr 2017 unter 600 Mobilitätsexperten gaben mehr als 70 % der Befragten an, dass die mit mobilen Geräten verbundenen Risiken in den letzten 12 Monaten zugenommen haben und dies auch 2018 der Fall sein wird.

Mobilitätsexperten sind nicht die Einzigen, die dies bemerken. Laut Juniper Research werden 2018 mehr als 2 Milliarden Nutzer über Smartphones, Tablets, PCs und Smartwatches auf Retail-Banking-Dienste zugreifen, was einem Anstieg von 10 % gegenüber dem Vorjahr entspricht. Trotz dieses Anstiegs bei der Nutzung von Mobile Banking "zögert ein erheblicher Teil der Verbraucher noch, mobilen Diensten zu vertrauen, einschließlich Bankgeschäften und Zahlungen."

Die Realität ist, dass die Banken digitale Kanäle nutzen müssen, um zu wachsen, und das Vertrauen der Kunden in den mobilen Kanal ist das Herzstück dieser digitalen Transformation. Um Vertrauen zu gewinnen, müssen die Banken Folgendes sicherstellen:

  • die Identität ihrer Online- und Mobilfunknutzer
  • Integrität der von ihren Kunden verwendeten Geräte

 
Verlässlichkeit der Banktransaktionen der Kunden


Angreifer suchen in der Regel nach Angriffsmöglichkeiten auf zwei Seiten: der Kundenseite und dem Back-End. Banken haben viel mehr Kontrolle über das Back-End und können besser sicherstellen, dass ihre Infrastruktur den Sicherheitsstandards entspricht, was erfolgreiche Angriffe erschwert. Mobile Banking-Apps hingegen befinden sich auf den Geräten der Kunden, also in einer Umgebung, die sich der Kontrolle der Bank weitgehend entzieht. Und trotz aller Bemühungen, die Plattform zu sichern, werden die Benutzer zum schwachen Glied. Schließlich werden einige Nutzer riskante Aktivitäten durchführen, wie z. B.:

  • Jailbreaking oder Rooting ihrer Geräte, um kostenlose Apps herunterzuladen
  • Verbindung mit kostenlosen Netzwerken ohne Rücksicht auf deren Vertrauenswürdigkeit

 
Aufschieben wichtiger Sicherheitsupdates für ihr Betriebssystem


Dies stellt eine große Herausforderung bei der Verhinderung von Mobile-Banking-Betrug dar. Mobile Transaktionen befinden sich immer noch im Wilden Westen, und die oben genannten Faktoren spielen eine wichtige Rolle dabei, ob Banken den Geräten vertrauen können, auf denen ihre Mobile-Banking-Apps installiert sind.

Letztendlich stehen Banken und Finanzdienstleister unter einem enormen Druck, die Erwartungen ihrer Kunden an eine sichere, bequeme und einfache mobile Nutzung zu erfüllen. Doch der mobile Kanal ist zum bevorzugten Ziel von Cyberkriminellen geworden, und die Zahl der Angriffe auf Banking-Apps ist so hoch wie nie zuvor. Wie können Banken also diese konkurrierenden Kräfte unter einen Hut bringen und das Vertrauen in das mobile Erlebnis stärken?

Die Abschirmung und Härtung mobiler Apps ist eine Möglichkeit, dies zu erreichen.

Sicherheitsbedrohungen durch mobile Apps 


Das vergangene Jahr war ein Weckruf für Mobilgeräteentwickler, die sich mit der Sicherheit ihrer Apps beschäftigen. Es gab zahlreiche Indikatoren, die auf einen massiven Anstieg der mobilen Sicherheitsbedrohungen hinwiesen, darunter:

  • Ein 72-prozentiger Anstieg der von McAfee Labs gesammelten einzelnen Proben mobiler Malware
  • eine 70-prozentige Zunahme der Zahl der Apps, die Google aus seinem App Store entfernt hat
     

 

    

Darüber hinaus wird mobile Malware immer komplexer und ausgefeilter. Heute geht es bei mobiler Malware nicht mehr nur um die Erstellung gefälschter mobiler Apps. Sie kann den eigentlichen Programmcode, den jede App verwendet, ausnutzen. Das bedeutet, dass Apps selbst - selbst solche, die sorgfältig entwickelt wurden - eine Bedrohung darstellen können.

Beispiele für fortgeschrittene Bedrohungen für die mobile Umgebung sind:

  • Beschädigung der Ausführungsumgebung: Wenn das Sandboxing von Anwendungen auf einem gerooteten Gerät unterbrochen wird, können die auf dem Gerät gespeicherten Daten von jeder anderen Anwendung, die auf demselben Gerät läuft, gelesen oder aktualisiert werden. (Mit Root-Zugriff kann Malware beispielsweise auf die Bankdaten des Benutzers zugreifen)
  • Reverse Engineering der Anwendung: Durch Instrumentierung und Debugging können böswillige Akteure die Kernfunktionen einer Anwendung ändern oder ein exaktes Duplikat der Anwendung erstellen.  In beiden Fällen veröffentlicht der böswillige Akteur die App dann in einem App-Store, damit die Opfer sie herunterladen und installieren können. Während der Installation installiert die modifizierte App in der Regel unbemerkt bösartige Apps, die Daten des Benutzers und seiner Umgebung stehlen.
  • Modifizierung der Anwendung: Modifizierte und neu verpackte Anwendungen werden in einem alternativen Store veröffentlicht, damit sie von Opfern von Phishing-Angriffen heruntergeladen werden können. Krypto-Mining-Malware wird mit vielen neu verteilten Anwendungen verpackt.

 

Schaffung einer vertrauenswürdigen mobilen Umgebung

Viele Anwendungen werden ohne großes Augenmerk auf die Sicherheit entwickelt. Der erste Schritt zur Schaffung einer vertrauenswürdigen mobilen Umgebung ist es daher, Sicherheit in den Entwicklungsalltag zu integrieren. Den Entwicklern werden oft Spezifikationen für die Funktionalität der Anwendung vorgegeben, aber Spezifikationen für sicheren Code sind nicht immer Teil der Produktdefinition. Außerdem können die Standards für sicheren Code je nach der spezifischen Programmiersprache und den für die Anwendungsentwicklung verwendeten Bibliotheken variieren.

Es kann für Entwickler verlockend sein, Bibliotheken von Drittanbietern zu verwenden, um Arbeitsabläufe und Code zur Lösung bestimmter Probleme zu nutzen. Das mag das Leben einfacher machen, aber Entwickler können in Schwierigkeiten geraten, wenn sie davon ausgehen, dass der Code auf Sicherheitslücken überprüft wurde. Wenn sie diese Option in Betracht ziehen, haben Entwickler vier Möglichkeiten, wie sie weiter vorgehen können:

  • Sicherheit komplett ignorieren (keine gute Idee)
  •  
  • Verwendung von Open-Source-Modulen (die nur selten unter Sicherheits-/Risikogesichtspunkten überprüft werden)
  •  
  • Es selbst tun (und hoffen, dass die mobile Anwendung sicher ist)

 
Verwenden Sie kommerziell erhältliche API-Bibliotheken, die speziell für den Schutz mobiler Anwendungen entwickelt wurden.
Als Best Practice empfehlen wir die Verwendung von API-Bibliotheken, die speziell für den Schutz mobiler Anwendungen entwickelt wurden. Durch die Verwendung der APIs eines Anbieters haben die Entwickler mehr Zeit für die Arbeit an den Funktionen, die für die Kunden wichtig sind, während die Technologie des Anbieters die Anwendung absichert. Diese eine Änderung in den Entwicklungsgewohnheiten kann einen langen Weg zur Schaffung einer vertrauenswürdigen mobilen Umgebung gehen.

Was ist App Shielding?


Mobile Malware kommt in Form von bösartigen Programmen und Key-Loggern vor, kann aber auch im Code von Bibliotheken versteckt und in Anwendungen eingebettet sein. Um einige der Probleme mit unsicheren Apps zu lösen, müssen wir daher die Sicherheit des Quellcodes der mobilen Apps selbst berücksichtigen. Dies erfordert eine neue Art des App-Schutzes, die innerhalb der App ansetzt. Diese Technologie wird als App Shielding bezeichnet.

App Shielding und Hardening sind eine Reihe von Technologien, mit denen Sicherheitsfunktionen direkt in mobile Anwendungen integriert werden können, um Eindringlinge auf Anwendungsebene zu erkennen und zu verhindern. Um dieses Ziel zu erreichen, erfüllt App Shielding vier Aufgaben:

  • Proaktiver Schutz von Anwendungen vor Malware
  • Kontrolliert die Ausführung und verhindert Angriffe in Echtzeit
  • Schützt mobile Anwendungen, um sicherzustellen, dass Daten und Transaktionen nicht gefährdet werden

 
Aufrechterhaltung der Laufzeitintegrität einer mobilen Anwendung, selbst wenn ein Benutzer versehentlich Malware auf sein Gerät herunterlädt
App Shielding ist Teil der OneSpan Mobile Security Suite-Lösung, die eine Reihe von Bibliotheken enthält, mit denen sich die Funktionen einer mobilen Anwendung schnell erweitern lassen. Unsere APIs für die Sicherheit mobiler Apps bieten auch einen automatisierten Implementierungsprozess. So können Banken gesicherte Apps schnell freigeben, ohne den Entwicklungszeitplan zu beeinträchtigen.

Wenn Sie ein Mobilitätsexperte oder Anwendungsentwickler sind, sollten Sie sich das Webinar ansehen, um zu erfahren, wie Sie Ihre Markteinführungszeit verkürzen und gleichzeitig Ihre mobilen Anwendungen auf ein neues Sicherheitsniveau bringen können. Wir zeigen Ihnen, wie alle Kernkomponenten Ihrer Anwendung jetzt auf jeder Ebene gesichert werden können. App Shielding bietet einen einfach zu integrierenden, für die Benutzer transparenten Schutz, der es Ihnen ermöglicht, sich auf das Wesentliche zu konzentrieren - die Entwicklung neuer Funktionen, die Ihr Geschäft voranbringen.

API Betrug Schadsoftware RASP Risiko  
Will LaSala
Will LaSala

Will LaSala ist Director of Security Solutions bei OneSpan.Er trat 2001 in das Unternehmen ein und bringt über 25 Jahre Erfahrung in den Bereichen Software und Cybersicherheit mit. Seit seinem Eintritt bei OneSpan war Will an allen Aspekten der Produktimplementierung und Marktausrichtung innerhalb von Finanzinstituten beteiligt.

Zur Spitze gehen