Update: Nach der Bekanntgabe dieser Entdeckungen wurde die mobile Anwendung "Peel Smart Remote" von Google Play entfernt.
Installieren Sie üblicherweise die mobile Airline-App für Ihre Reisen? Sie können nun zweimal überlegen, bevor Sie es für Ihren nächsten Urlaub tun.
Unsere neueste Studie basiert auf Sicherheitstests von Mobilanwendungen der 50 größten Fluggesellschaften. Sie beleuchtet einige besorgniserregende Fakten hinsichtlich des Datenschutzes. Das Audit wurde diese Woche von Pradeo Security Engine durchgeführt, die das Verhalten (Datenverarbeitung) und die Schwachstellen von mobilen Apps präzise aufdeckt. Unter den 50 getesteten Mobilanwendungen waren die meistverwendeten Apps auf globaler Ebene vertreten, die hauptsächlich aus Nordamerika, Westeuropa und Ostasien kommen.
Persönliche und finanzielle Daten, die über nicht zertifizierte Verbindungen über das Netzwerk gesendet werden
Fast alle Fluggesellschaften statten ihre Anwendungen mit Funktionen aus wie Scannen der Pässe und Kreditkarten, mobiles Check-in, mobile Buchungen, Bordkarten usw., um den Nutzern den bestmöglichen Service zu bieten. Diese Studie zeigt, dass mindestens 49% der Anwendungen von Fluggesellschaften den Standort, Informationen der Nutzer, Galerie und Kontaktlisten manipulieren. Ein Drittel von ihnen sendet dann die betreffenden personenbezogenen Daten über das Netzwerk. Was noch überraschender ist, dass die Übertragung, die meiste Zeit über nicht zertifizierte Verbindungen erfolgt, was den Datendiebstahl erheblich erleichtert. Die Studie belegt, dass Anwendungen von Fluggesellschaften durchschnittlich 14 unsichere Verbindungen zu Servern verwenden.
Code-Schwachstellen schwächen die Widerstandsfähigkeit der Apps gegenüber üblichen Angriffen
Die kurzen Markteinführungsprozesse führen häufig zu einer Vernachlässigung des Sicherheitsaspektes für den Code. In der geprüften Stichprobe fanden wir durchschnittlich 21 Sicherheitslücken pro Anwendung. Dies ist eine sehr hohe Zahl, wenn man die Sensibilität der manipulierten Informationen (Reisepass, Kreditkarte…) berücksichtigt. Die zehn häufigsten Sicherheitslücken sind dafür bekannt, dass Sie Anwendungen das Risiko von Denial-of-Service, Datenverlust und Man-in-the-Middle-Angriffen aussetzen?
Top 10 Sicherheitslücken (siehe unten in Details):
- Broadcast activity 98%
- DSQLite 94%
- Broadcast receiver 92%
- SQLC_password 90%
- Implicit intent 88%
- Broadcast service 86%
- d_JSenabled 78%
- d_external storage 66%
- d_webviewdebug 47%
- HandleSslError 16%
BROADCAST-ACTIVITY
Die Sicherheitsanfälligkeit gibt anderen Anwendungen die Berechtigung, einen bestimmten Sicherheitszugriff zu umgehen und direkten Zugriff auf potenziell sensible Daten zu gewähren.
D_SQLITE
Die App verwendet die SQLite-Datenbank und führt eine unformatierte SQL-Abfrage aus. Nicht vertrauenswürdige Benutzereingaben in unformatierten SQL-Abfragen können SQL Injection verursachen. Auch sensible Informationen sollten verschlüsselt werden und in die Datenbank geschrieben werden.
BROADCAST-RECEIVER
Die Sicherheitsanfälligkeit gibt anderen Anwendungen die Berechtigung, böswillige Vorhaben an die Anwendung zu senden. Bei Erhalt von Vorhaben wird ohne Überprüfung der Identität des Anrufers gehandelt und dies kann dazu führen, dass sensible Daten offengelegt werden oder der Dienst verweigert wird.
SQLC_PASSWORD
Diese App verwendet SQL Cipher. Aber das Geheimnis kann stark verschlüsselt sein.
IMPLICIT-INTENT
Eine böswillige Aktivität oder Dienstleistung kann eine implizite Absicht abfangen und anstelle der beabsichtigten Aktivität oder Dienstleistung gestartet werden. Dies kann zum Abfangen von Daten oder zu einem Denial-of-Service führen.
BROADCAST-SERVICE
Die Sicherheitsschwachstelle gibt anderen Anwendungen die Berechtigung, den Dienst der Anwendung zu starten oder zu binden. Die Verwendung des Fehlers kann dazu führen, dass vertrauliche Informationen in Richtung bösartiger Apps gelangen oder der Dienst verweigert wird.
D_JSENABLED
Unsichere WebView-Implementierung. Die Ausführung von benutzergesteuertem Code in WebView ist eine kritische Sicherheitslücke.
D_EXTSTORAGE
App kann auf externem Speicher lesen / schreiben. So jede App kann auf externen Speicher geschriebene Daten lesen.
D_WEBVIEWDEBUG
Remote-WebView-Debugging ist aktiviert.
HANDLESSLERROR
Die Implementierung ignoriert alle Fehler bei der Validierung von SSL-Zertifikaten und macht die App anfällig für Man-in-the-Middle-Angriffe.
Vielleicht interessiert Sie auch:
- Pradeo Security Mobile Threat Defense
- Pradeo Security Mobile Application Security Testing
- Pradeo Security In-App Self-Protection