Was ist Applikationshärtung?
Anwendungshärtung ist ein Konzept und eine Technik in der Cybersicherheit, die Codeverschleierung, White-Box-Kryptografie und andere Techniken verwendet, um Anwendungen vor mobilen Betrugstechniken wie Reverse Engineering und Manipulation zu schützen. Es umfasst Maßnahmen, die den Aufwand für einen böswilligen Akteur erhöhen, um eine App anzugreifen. Application Hardening sollte eine Best Practice für Unternehmen sein, um ihre Apps zu schützen, Sicherheitsrisiken zu reduzieren und Missbrauch, Betrug und Repackaging zu verhindern.
In-App-Schutz, Anwendungshärtung und Anwendungsabschirmung
Anwendungshärtung und Anwendungsabschirmung sind Untermengen des In-App-Schutzes. Der In-App-Schutz wurde entwickelt, um Anwendungen von innen heraus zu schützen und eignet sich gut für einen Zero-Trust-Ansatz zum Schutz von Apps. Der In-App-Schutz eignet sich am besten für hochwertige Anwendungen, die auf unbeaufsichtigten Geräten oder in nicht vertrauenswürdigen Umgebungen ausgeführt werden.
Die Anwendungshärtung umfasst Präventionsfunktionen, die es einem Angreifer erschweren, einen Angriff auszuführen. Application Shielding umfasst Maßnahmen zum Schutz vor Manipulationen, die darauf ausgelegt sind, einen Angreifer zu stören, sowie Erkennungsfunktionen, die feststellen, ob der App-Umgebung vertraut werden kann.
Der In-App-Schutz umfasst auch Funktionen wie Anti-Bot-Technologien, Clickjacking-Schutz, Selbstschutz für Runtime-Anwendungen, Multifaktor-Authentifizierung und Risikoanalyse.
Mobile Sicherheitsannahmen, die Anwendungen angreifbar machen
Entwickler von mobilen Apps sind nicht in der Lage, alle Umgebungen zu kontrollieren, in denen ihre Apps verwendet werden. Zum Beispiel können Benutzer ihr Gerät jailbreaken oder rooten, wodurch die Sicherheitsvorkehrungen des Betriebssystems deaktiviert werden. Daher ist die Anwendungshärtung ein wichtiger Teil der Sicherheit mobiler Anwendungen, da sie unabhängig vom Sicherheitsstatus des Geräts oder Betriebssystems Schutzmaßnahmen in die App selbst einbaut.
Zwei weit verbreitete Missverständnisse erhöhen die Risiken einer Kompromittierung einer mobilen App.
Erstens gehen die Leute davon aus, dass die offiziellen App-Stores - Apple App Store und Google Play - nur legitime, sichere Apps zum Download anbieten. Die offiziellen App-Stores scannen Apps, die Entwickler einreichen, auf Malware und prüfen, ob der Zugriff der Apps auf Benutzerdaten vermittelt wird.
Die Realität ist jedoch, dass die App-Stores nicht in der Lage sind, jede bösartige App abzufangen, da es einfach zu viele Apps gibt, um alle schlechten Apps auszusortieren und als zuverlässige Sicherheitskontrolle zu fungieren.
Zweitens gehen viele davon aus, dass die Betriebssysteme iOS und Android ausreichende Sicherheit für mobile Apps bieten, die auf ihre Geräte heruntergeladen werden. Die Realität ist, dass Patches für eine Sicherheitslücke in Android oder iOS nicht immer sofort verfügbar sind und die Benutzer möglicherweise nicht immer Cyberhygiene betreiben, indem sie ihre Geräte regelmäßig aktualisieren. Außerdem implementieren die Entwickler in einigen Fällen die von den Betriebssystemen bereitgestellten Verschlüsselungsfunktionen nicht korrekt.
Learn how to reduce fraud, save money, and protect revenue with app shielding
Make the case for stronger mobile app security and learn why app shielding with runtime-protection is especially valuable given the current mobile threat landscape.
Gründe für das Härten Ihrer Anwendungen
Es gibt drei Hauptgründe für die App-Härtung: Schutz des geistigen Eigentums, Schutz der App-Integrität und Schutz sensibler Daten in der App.
Innerhalb einer Anwendung gibt es geistiges Eigentum (IP), wie Konzepte, Innovationen und Erfindungen, die dem Unternehmen einen Wettbewerbsvorteil verschaffen. Der Besitz des funktionierenden Quellcodes ermöglicht den Zugriff auf jede IP, die in der App verschlüsselt ist. Durch die Analyse des Quellcodes der App könnte ein Hacker IP stehlen. Anwendungshärtung kann IP sicher halten.
Die App-Integrität ist auch ein Anliegen der App-Entwickler. Böswillige Akteure können eine App inspizieren und, wenn möglich, modifizieren, um sie zu klonen, Daten zu stehlen oder Daten über APIs abzugreifen. Eine App, die nicht durch Obfuskation und Whitebox-Kryptografie gehärtet ist, ist wie ein offenes Buch. Angreifer können eine statische Analyse des Codes der App im Klartext durchführen und Bereiche finden, die sie angreifen und ausnutzen können. Als Teil einer mehrschichtigen Verteidigungsstrategie sollten Unternehmen auch über Mechanismen verfügen, die einer Anwendung Anti-Debug- und Anti-Tamper-Funktionen hinzufügen, um sie zu schützen, zu erkennen und auf Angriffe auf ihre Integrität zu reagieren.
Eine beliebte Angriffstechnik ist das Ausnutzen von App-Sicherheitslücken, um sensible private Daten zu stehlen. Da Daten, die während der Laufzeit verwendet werden, auf eine Art und Weise offengelegt werden können, wie es bei Daten im Ruhezustand oder bei der Übertragung nicht der Fall ist, und Angreifer möglicherweise lernen können, wie sie dies mit Hilfe von Debuggern, Emulatoren und anderen Tools ausnutzen können, besteht die nächstbeste Strategie darin, die unbefugte Verwendung von Debuggern, Emulatoren und anderen Tools einzuschränken, die Hacker einsetzen, um auf Daten in Apps zuzugreifen und diese zu verändern. Außerdem könnte ein Angreifer, wenn die Verschlüsselungsschlüssel nicht ordnungsgemäß geschützt sind, diese Schlüssel stehlen und sie für den Zugriff auf Daten während der Übertragung verwenden. Anwendungshärtung und andere In-App-Schutztechniken sichern Apps und die Daten, die durch sie fließen, indem sie die Angriffsvektoren deaktivieren, die Hacker verwenden.
Techniken zur Applikationshärtung
Anwendungshärtung umfasst mehrere Techniken, um Apps vor Angreifern zu schützen. Dazu gehören:
Code-Verschleierung
Bei der Code-Verschleierung wird der Code der App verschlüsselt, um das Reverse Engineering von Apps zu erschweren. Daher ist es schwieriger, eine App ins Visier zu nehmen, indem man sie schwerer lesbar macht, was es auch schwieriger macht, ihre IP zu stehlen oder sie neu zu verpacken. Die Code-Verschleierung nutzt verschiedene Techniken, um Apps zu schützen. Softwarekomponenten und Bezeichner können umbenannt werden. Es kann Dummy-Code hinzugefügt werden, der nie verwendet wird, und es können Strings verschlüsselt werden. Der Code kann neu kompiliert und in einem Interpreter oder einer virtuellen Maschine ausgeführt werden. Weitere Techniken zur Code-Verschleierung sind Reflection und Packing.
White Boxing oder White-Box-Kryptographie
Dieser Ansatz bietet eine Alternative zur Nutzung der nativen Tools moderner Plattformen, wie z. B. dem Schlüsselbund von Apple iOS oder dem Android Keystore. Wenn ein Unternehmen seine Apps auf jailbroken Geräten laufen lassen muss, kann dies eine nützliche kryptografische Technik sein. Außerdem kann White Boxing verwendet werden, wenn der Eindringling den Standard-Speicherort, wie Keychain/Secure Enclave für iOS oder KeyStore für Android, für Anmeldeinformationen auf einem Gerät sieht, um einen Angriff zu zielen.
Andere Techniken:
- Das Zertifikats-Pinning, das es den an einem gegenseitigen Authentifizierungsprozess beteiligten Parteien ermöglicht, bestimmte Zertifikate festzulegen, kann zur Abwehr von Man-in-the-Middle-Angriffen eingesetzt werden.
- Die Ressourcenverschlüsselung beinhaltet die Verschlüsselung von App-Komponenten, wie z. B. Klassen und Strings.
- Auto-Ablauf legt eine Frist fest, nach der ein Benutzer nach einer Zeit der Inaktivität abgemeldet wird.
- Eigenständige Tastaturen können eingesetzt werden, um Keylogging-Versuche zu stoppen, und die Rogue-Keyboard-Erkennung kann verwendet werden, um nicht autorisierte Tastaturen zu erkennen.
- Polymorphismus ist eine Methode, bei der der Code verändert werden kann, um das Reverse Engineering zu erschweren.
Anwendungsfälle für Anwendungshärtung
Mobile Banking-Apps sind ein Anwendungsfall für Anwendungshärtung. Immer mehr mobile Nutzer verlassen sich beim Banking auf ihre Geräte. Betrüger versuchen, aus jeder Sicherheitslücke, die sie finden können, Kapital zu schlagen. Die Anwendungshärtung hilft, Betrüger daran zu hindern, bösartige Exploits für die mobile Banking-App zu entwickeln, wodurch es für einen Angreifer schwieriger wird, erfolgreich zu sein.
Mobile Gesundheits-Apps verarbeiten geschützte Gesundheitsinformationen (PHI), die durch den Health Insurance Portability and Accountability Act (HIPAA) geregelt sind. Gesundheitsdienstleister und andere können mit empfindlichen Strafen rechnen, wenn ihre Telemedizin-Apps Patientendaten offenlegen. Anwendungshärtung kann sicherstellen, dass die Vertraulichkeit der Patienten gewahrt bleibt und HIPAA-Strafen vermieden werden, indem sichergestellt wird, dass Cyberangreifer nicht auf PHI zugreifen können.
Mobile Einzelhandels-Apps sind ein weiterer hervorragender Anwendungsfall für die Anwendungshärtung. Sie verarbeiten Kartendaten, die durch den Payment Card Industry Data Security Standard (PCI DSS) geregelt sind. Online-Händler, die PCI DSS nicht einhalten, müssen mit Geldstrafen von Kreditkartenunternehmen, dem Verlust des Kundenvertrauens und sogar mit Prüfungen der Federal Trade Commission rechnen.
Mitarbeiter des öffentlichen Dienstes, wie z. B. Ersthelfer, Strafverfolgungsbehörden und Regierungsstellen, greifen über ihre mobilen Apps auf sensible Informationen zu, übertragen und speichern diese. Diese Daten könnten dem HIPAA, Richtlinien von Behörden oder Datenschutzbestimmungen unterliegen und müssen daher durch robuste Sicherheitsmaßnahmen wie Anwendungshärtung geschützt werden.
Mobile Apps mit Kundenkontakt sind eine Brücke zwischen der Außenwelt und sensiblen internen Kundendatenbanken, was sie zu einem Ziel für Angreifer macht. Application Hardening ist in der Lage, die zahlreichen Schwachstellen in mobilen Apps, die zu Datendiebstahl führen können, zu blockieren oder anderweitig zu verhindern, dass Angreifer sie ausnutzen.
Mit der exponentiell steigenden Anzahl von vernetzten Geräten und Apps wächst die Angriffsfläche für Hacker, um Netzwerke zu Hause, am Arbeitsplatz und in der Fabrik zu infiltrieren, in ähnlichem Tempo. Apps, die verbundene Geräte steuern, sind anfällig für Angriffe. Anwendungshärtung kann diese Anwendungen sichern, um eingebettete Systeme auf eine Weise zu schützen, die Antivirenlösungen und andere herkömmliche Sicherheitstools nicht leisten können.
Blog
Delivering Trust Through Mobile App Shielding and Hardening
In the increasingly crowded and competitive financial services market, financial institutions (FIs) are prioritizing mobile app development and the mobile user experience in order to maximize customer acquisition and retention.
Read the BlogSchützen Sie sich vor diesen Angriffsstrategien mit Anwendungshärtung
Anwendungshärtung kann helfen, Apps gegen verschiedene Angriffsszenarien zu schützen, einschließlich Reverse Engineering, Repackaging und Rogue Keyboards.
Unter Reverse Engineering versteht man die Analyse einer App, um Informationen über Design und Implementierung zu extrahieren. Die Technik kann für legitime Zwecke verwendet werden, aber ein Angreifer kann sie auch nutzen, um Code zu analysieren und Malware zu entwickeln, die Apps für schändliche Zwecke ausnutzt.
Bei einem Repackaging-Angriff entwickelt ein Hacker eine legitime App zurück, fügt ihr bösartigen Code hinzu und lädt sie in einen App-Store hoch. Dies ist eine beliebte Technik von Angreifern, die es auf mobile Banking-Apps abgesehen haben.
Alternative Tastatur-Apps, mit denen Anwender ihre Tastaturen anpassen, können auch bösartigen Code verstecken, der Daten stiehlt oder andere bösartige Aktionen durchführt.
Die Quintessenz ist, dass Anwendungshärtung Apps vor bösartigen Aktivitäten schützt und sensible Informationen während ihres gesamten Lebenszyklus vor Cyberkriminellen bewahrt. Die Anwendungshärtung ist Teil eines mehrschichtigen App-Sicherheitsansatzes, der Laufzeitschutz, starke Authentifizierung und andere Techniken umfasst. Layered Security kann helfen, Initiativen zur digitalen Transformation zu beschleunigen, Betriebskosten zu senken und neue Wachstumschancen zu eröffnen.