Application-Security und Applikationshärtung sind wichtiger denn je

Brandner-Mirko_Technical-Manager_Arxan
Mirko Brandner, Technical Manager, Arxan Technologies

Erpressung nach Handbrake-Trojaner: Warum Entwickler und App-Anbieter jetzt handeln müssen. Ein Kommentar von Mirko Brandner, Technical Manager, Arxan Technologies.

Der Bericht über den Handbrake-Trojaner und die Entwendung der „Kronjuwelen“ des Mac-Entwicklerstudios Panic, sprich der Diebstahl des Source-Codes ihrer Produkte, mag den einen oder anderen schockieren. Letztlich handelt es sich jedoch um ein typisches Angriffsszenario, wie es täglich vorkommt. Denn auch in zahlreichen ganz alltäglichen Anwendungen, die millionenfach auf unseren Handys ausgeführt werden, passiert Ähnliches: Cyberkriminelle verschaffen sich mittels Reverse-Engineering Zugriff zu den sensiblen Informationen der App wie der programmierten Funktionalität oder den Sicherheitsmaßnahmen und machen die Anwendung damit vollkommen transparent. Zumindest dann, wenn der Entwickler keine Gegenmaßnahmen getroffen hat.

Mit dem Wissen um die internen Abläufe einer App ist es für die Hacker dann ein Leichtes, die Anwendung zu manipulieren und schadhaften Code einzuschleusen, der „ein wenig mehr macht” als der Entwickler ursprünglich im Sinn hatte. Voraussetzung hierfür ist natürlich, dass die manipulierte Version der App auch entsprechend in Umlauf gebracht wird. Ein paar Bedingungen müssen also erfüllt sein und mehrere Schlupflöcher gleichzeitig ausgenutzt werden.

Für Entwickler und Anbieter von Applikationen ist es daher umso wichtiger, jedes einzelne dieser Schlupflöcher abzusichern und aus dem Weg zu schaffen. So können Apps zum Beispiel noch im Entwicklungsprozess vor Reverse-Engineering und Code-Tampering (Manipulation/Patching) geschützt werden, so dass manipulierte Versionen erst gar nicht in Umlauf kommen. Während dem Thema Netzwerksicherheit seit Jahren ein hoher Stellenwert zukommt, ist die Application-Security ein der breiten Masse noch recht unbekannter Sicherheitsansatz, der bisher viel zu wenig Beachtung erhält. Besonders erschreckend finde ich dabei, dass auch die meisten App-Anbieter und Sicherheitsverantwortlichen die Augen vor diesem Thema verschließen. Und das, obwohl mittlerweile über 80 Prozent der Cyberangriffe auf Anwendungsebene stattfinden. Das Ergebnis sind gefälschte oder schädliche Applikationen, die im großen Stil Daten klauen, geistiges Eigentum ausspähen oder Banktransaktionen manipulieren und Endnutzer wie Anbieter mit teils hohen finanziellen Schäden zurücklassen.

Meine Schlussfolgerung an dieser Stelle: Entwickler, bitte beschäftigt euch mit den vernachlässigten Themen Application-Security und Applikationshärtung! Anwender, schaut zweimal hin, woher ihr eure Software bezieht!

#Netzpalaver #Arxan #ApplicationSecurity