Vertrauen schaffen durch Mobile App Shielding und Hardening

Will LaSala, 11. April 2018

Wir hosten regelmäßig Webcasts zu Themen wie Mobile App Shielding, Betrug, Authentifizierung, RASP und Risikoanalyse, um Anleitungen zum Schutz Ihrer Kunden und Daten bereitzustellen. Wenn Sie unseren neuesten Webcast verpasst haben, Vertrauen schaffen durch Mobile App Shielding und Hardening Hier ist die 5-minütige Zusammenfassung. Die vollständige Präsentation ist verfügbar auf Nachfrage .

Mit der zunehmenden Verbreitung mobiler Geräte und Apps sind Unternehmen zunehmend besorgt über die Bedrohungen, die die Umstellung auf eine mobile Plattform darstellt. Laut einem 2017 Verizon-Umfrage Von 600 Mobilitätsfachleuten gaben mehr als 70% der Befragten an, dass die mit mobilen Geräten verbundenen Risiken in den letzten 12 Monaten gestiegen sind, und sie werden dies auch 2018 tun.

Mobilitätsprofis sind nicht die einzigen, die davon Notiz nehmen. Gemäß Wacholderforschung „Über 2 Milliarden Nutzer werden 2018 über Smartphones, Tablets, PCs und Smartwatches auf Privatkundengeschäfte zugreifen, ein Plus von 10% yoy . ” Trotz dieser Zunahme der Akzeptanz von Mobile Banking „zögert ein erheblicher Teil der Verbraucher immer noch, mobilen Diensten, einschließlich Bankgeschäften und Zahlungen, zu vertrauen.“

Die Realität ist, dass Banken digitale Kanäle für Wachstum nutzen müssen, und das Vertrauen der Kunden in den mobilen Kanal ist das Herzstück dieser digitalen Transformation. Um Vertrauen zu gewinnen, müssen Banken Folgendes sicherstellen:

  • Identität ihrer Online- und Mobilbenutzer
     
  • Integrität der Geräte, die ihre Kunden verwenden
     
  • Zuverlässigkeit der Bankgeschäfte der Kunden

Angreifer betrachten Angriffsmöglichkeiten normalerweise auf zwei Seiten: der Client-Seite und dem Back-End. Banken haben viel mehr Kontrolle über das Back-End und können effektiver sicherstellen, dass ihre Infrastruktur den Sicherheitsstandards entspricht, was erfolgreiche Angriffe erschwert. Mobile-Banking-Apps befinden sich jedoch auf den Geräten der Kunden. Diese Umgebung liegt weitgehend außerhalb der Kontrolle der Bank. Und trotz der Bemühungen, die Plattform zu sichern, werden Benutzer zum schwachen Glied. Schließlich werden einige Benutzer riskante Aktivitäten ausführen, darunter:

  • Jailbreaking oder Rooting ihrer Geräte, um kostenlose Apps herunterzuladen
     
  • Verbindung zu freien Netzwerken unabhängig von ihrer Vertrauenswürdigkeit
     
  • Verschieben kritischer Sicherheitsupdates auf das Betriebssystem

Dies stellt eine große Herausforderung dar, um Betrug im Bereich Mobile Banking zu verhindern. Mobile Transaktionen befinden sich immer noch im Wilden Westen, und die oben genannten Faktoren spielen eine wichtige Rolle dafür, ob Banken den Geräten vertrauen können, auf denen ihre Mobile-Banking-Apps installiert sind.

Letztendlich stehen Banken und Finanzdienstleister unter enormem Druck, die Kundenerwartungen für sichere, bequeme und einfache mobile Erlebnisse zu erfüllen. Der mobile Kanal ist jedoch zum bevorzugten Ziel für Cyberkriminelle geworden, und die Angriffe auf Bank-Apps sind auf einem Allzeithoch. Wie können Banken diese konkurrierenden Kräfte in Einklang bringen und Vertrauen in das mobile Erlebnis aufbauen?

Betrachten wir das Abschirmen und Härten von mobilen Apps als eine Möglichkeit, dies zu tun.

Sicherheitsbedrohungen für mobile Apps 

Letztes Jahr war ein Weckruf für mobile Entwickler, die sich mit der Sicherheit ihrer Apps befassten. Wir haben zahlreiche Indikatoren gesehen, die auf einen massiven Anstieg des Wachstums mobiler Sicherheitsbedrohungen hinweisen, darunter:

  • EIN 72% mehr in einzigartigen mobilen Malware-Beispielen, die von McAfee Labs gesammelt wurden
     
  • EIN 70% mehr in der Anzahl der Apps, die Google aus seinem App Store gezogen hat

Geräteangriffsfläche: Welche Verhaltensweisen können Probleme verursachen?

Darüber hinaus wird mobile Malware immer komplexer und komplexer. Heutzutage ist mobile Malware mehr als nur das Erstellen gefälschter mobiler Apps. Es kann den tatsächlichen Programmcode nutzen, den jede App verwendet. Dies bedeutet, dass Apps selbst - auch solche, die sorgfältig erstellt wurden - eine Bedrohung darstellen können.

Beispiele für erweiterte Bedrohungen für die mobile Umgebung sind:

  • Beschädigung der Ausführungsumgebung: Wenn das Sandboxing der Anwendung auf einem gerooteten Gerät unterbrochen ist, können die auf dem Gerät gespeicherten Daten von jeder anderen Anwendung gelesen oder aktualisiert werden, die auf demselben Gerät ausgeführt wird. (Mit Root-Zugriff kann Malware beispielsweise auf die Bankdaten des Benutzers zugreifen.)
     
  • Reverse Engineering der Anwendung: Durch Instrumentierung und Debugging können böswillige Akteure die Kernfunktionalität einer App ändern oder ein genaues Duplikat der App erstellen.  In beiden Fällen veröffentlicht der böswillige Akteur die App in einem App Store, damit die Opfer sie herunterladen und installieren können. Während der Installation installiert die geänderte App normalerweise unbeabsichtigt schädliche Apps, die Daten vom Benutzer und der Benutzerumgebung stehlen.
     
  • Änderung der Anwendung: Geänderte und neu verpackte Anwendungen werden in einem alternativen Store zum Herunterladen durch Opfer von Phishing-Angriffen veröffentlicht. Crypto-Mining-Malware wird mit vielen neu verteilten Anwendungen gepackt.

Erstellen einer vertrauenswürdigen mobilen Umgebung

Viele Anwendungen werden ohne starken Fokus auf Sicherheit entwickelt. Daher ist das Hinzufügen von Sicherheit zum täglichen Entwicklungsleben der erste Schritt zur Schaffung einer vertrauenswürdigen mobilen Erfahrung. Entwickler erhalten häufig Spezifikationen für die Funktionalität der Anwendung, aber Spezifikationen für sicheren Code sind nicht immer Teil der Produktdefinition. Darüber hinaus können sichere Codierungsstandards abhängig von der spezifischen Codierungssprache und den für die Anwendungsentwicklung verwendeten Bibliotheken variieren.

Es kann für Entwickler verlockend sein, nach Bibliotheken von Drittanbietern zu suchen, um Workflow und Code zur Lösung spezifischer Probleme zu nutzen. Es mag das Leben leichter machen, aber Entwickler können in Schwierigkeiten geraten, wenn sie davon ausgehen, dass der Code auf Sicherheitslücken überprüft wurde. Wenn Entwickler diese Option in Betracht ziehen, haben sie vier Möglichkeiten, was als nächstes zu tun ist:

  1. Sicherheit vollständig ignorieren (keine gute Idee)
     
  2. Verwenden Sie Open Source-Module (die aus Sicherheits- / Risikoperspektive selten überprüft werden).
     
  3. Mach es selbst (und hoffe, die mobile App ist sicher)
     
  4. Verwenden Sie handelsübliche API-Bibliotheken, die speziell zum Schutz mobiler Anwendungen entwickelt wurden

Als bewährte Methode empfehlen wir die Verwendung von API-Bibliotheken, die speziell zum Schutz mobiler Apps entwickelt wurden. Durch die Verwendung der APIs eines Anbieters haben Entwickler Zeit, an den für Kunden wichtigen Features und Funktionen zu arbeiten, während die Technologie des Anbieters die App schützt. Diese eine Änderung der Entwicklungsgewohnheiten kann einen großen Beitrag zur Schaffung einer vertrauenswürdigen mobilen Umgebung leisten.

Was ist App Shielding?

Mobile Malware kommt in Form von Schadprogrammen und Key Loggern vor, kann aber auch im Code von Bibliotheken versteckt und in Anwendungen eingebettet sein. Um einige der Probleme mit unsicheren Apps zu lösen, müssen wir daher die Sicherheit des Quellcodes der mobilen App selbst berücksichtigen. Dies erfordert eine neue Art von App-Schutz, der innerhalb der App funktioniert. Diese Technologie wird als App-Abschirmung bezeichnet.

App Abschirmung und Härtung ist eine Reihe von Technologien, mit denen mobile Anwendungen direkt mit Sicherheitsfunktionen ausgestattet werden, um Eingriffe auf Anwendungsebene zu erkennen und zu verhindern. Um dieses Ziel zu erreichen, führt die App-Abschirmung vier Dinge aus:

  1. Schützt Anwendungen proaktiv vor Malware
     
  2. Steuert die Ausführung und verhindert Echtzeitangriffe
     
  3. Schützt mobile Apps, um sicherzustellen, dass Daten und Transaktionen nicht gefährdet werden
     
  4. Erhält die Laufzeitintegrität einer mobilen Anwendung, auch wenn ein Benutzer versehentlich Malware auf sein Gerät herunterlädt

Die App-Abschirmung ist Teil der OneSpan Mobile Security Suite-Lösung, die eine Reihe von Bibliotheken enthält, mit denen die Funktionen einer mobilen App schnell verbessert werden können. Unsere Sicherheits-APIs für mobile Apps bieten auch einen automatisierten Implementierungsprozess. Auf diese Weise können Banken gesicherte Apps schnell freigeben, ohne die Entwicklungszeit zu beeinträchtigen.

Wenn Sie ein Mobilitätsprofi oder Anwendungsentwickler sind, Sehen Sie sich das Webinar an Hier erhalten Sie Experteninformationen darüber, wie Sie Ihre Markteinführungszeit verkürzen und Ihren mobilen Anwendungen ein neues Schutzniveau verleihen können. Wir zeigen Ihnen, wie alle Kernkomponenten Ihrer Anwendung jetzt auf jeder Ebene gesichert werden können. Die App-Abschirmung bietet Schutz, der einfach zu integrieren, für Benutzer transparent und so konzipiert ist, dass Sie sich auf das Wesentliche konzentrieren können - und neue Funktionen erstellen, die das Geschäft vorantreiben.

Will LaSala ist Director of Security Solutions bei OneSpan.  Er trat 2001 in das Unternehmen ein und bringt über 25 Jahre Erfahrung in den Bereichen Software und Cybersicherheit mit. Seit seinem Eintritt bei OneSpan war Will an allen Aspekten der Produktimplementierung und Marktausrichtung innerhalb