Sicherheit wird durch mobile Anwendungen herausgefordert

von Manuel Nientit,
assono GmbH, Standort Kiel,

Der geneigte Leser erinnert sich vielleicht noch an meinen Eintrag vom 28.10., in dem ich über die Sicherheit von Anwendungen auf dem BlackBerry sprach.
Heute erst stolpere ich über einen Eintrag auf heise.de, in dem Nicolas Seriot interviewt wird. Der hat sich intensiv mit dem Thema Apps auf dem iPhone auseinandergesetzt und das Ergebnis in einem kurzen, gut lesbaren Bericht veröffentlicht.

Die Kurzfassung ist, dass Apple trotz Prüfung nicht zu 100% sicherstellen kann, dass "Spyphone"-Apps im App-Store veröffentlicht werden können.
Das liegt unter anderem daran, dass diese Anwendungen auf bestimmte kritische "private" (bei RIM heißen diese Funktionen "signed") Funktionen untersucht werden, die unternehmenskritische Daten z.B. aus dem Speicher holen könnten.
Aber man auch ohne Aufruf dieser "privaten" Funktionen auf mehr oder weniger kritische Daten zugreifen kann, die in ihrer Gesamtheit unangenehm sein könnten.
Das sind unter Anderem:

  • Kontakte (!)
  • Geo-informationen
  • Safari-Suchen
  • Eingegebene Wörter (für Wortvorschläge) - ohne Passwörter
    Das kann man schon als kritisch betrachten, auch wenn es sich noch nicht um Kontodaten, Vertragsinformationen oder anderes handelt.
    Selbst ohne die Kontakte lassen sich auf diese Weise detaillierte Profile über den Nutzer des Gerätes zusammenfügen.

    Warum schreibe ich darüber?
    Ich will keineswegs das iPhone schlecht machen - auch wenn ich dem Hype darum nicht unbedingt folgen kann/möchte - denn wie ich bereits vorher schrieb, ist das ein grundsätzliches Dilemma mobiler Anwendungen, dem sich auch RIM und andere Hersteller stellen müssen, die die Installation von zusätzlichen Applikationen erlauben.
    Ich möchte viel mehr sensibilisieren.
    Auf Ihrem Gerät - sei es ein iPhone, Blackberry, Nokia etc. - befinden sich Daten über Sie und Ihr Unternehmen, die Sie nicht jedem geben wollen/sollten.
    Auf der anderen Seite haben Sie das berechtigte Interesse, die Benutzung Ihres Smartphones so komfortabel und produktiv wie möglich zu gestalten. Alle Smartphone-Hersteller ermöglichen es Ihnen daher inzwischen, eigene Anwendungen zu entwickeln, die den Nutzen erhöhen. Dafür wird auch der Zugriff auf Gerätefunktionen erlaubt, die eben auch sensible Daten preisgeben können.

    Die Hersteller tun bereits sehr viel, um die Sicherheit zu erhöhen.
    RIM und Apple verteilen Signaturen an entwickelnde Unternehmen oder Personen, die auf "signed" oder "private" Gerätefunktionen zugreifen wollen. Das macht es zumindest schon einmal möglich, den Urheber einer Anwendung zu identifizieren bzw. verhindert, dass Anwendungen, denen Sie vertrauen durch eine Hintertür geändert werden und auf einmal bösartigen Code enthalten.
    Außerdem erlaubt Apple die Installation von Anwendungen nur über den App-Store, der jede Anwendung erst einmal prüft, bevor sie aufgenommen wird. In der RIM-AppWorld wird ebenfalls eine Prüfung erfolgen, aber RIM erlaubt auch die Installation über den BES oder gar den Desktop Manager. Was erst wie eine potentielle Lücke aussieht, hat den Vorteil, dass Sie maßgeschneiderte Eigenentwicklungen nicht für alle Welt zugänglich machen müssen, um sie zu installieren.

    Wie Sie sehen, liegt es letztlich an Ihnen, welches Risiko Sie in Ihrem Unternehmen gestatten wollen. Vernageln Sie das Gerät, werden sich die Nutzer manchmal zu Recht, manchmal zu Unrecht beschweren, dass ihre wichtigen Anwendungen auf dem Gerät nicht installiert werden können oder nicht funktionieren. Sie vertun hier viele Chancen. Ergreifen Sie keine Vorkehrungen, werden Ihre Nutzer vielleicht auch die Fun-App aus dubioser Quelle installieren und damit große Lücken aufreißen.
Fachbeitrag Sicherheit Administration

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie wollen eine individuelle Lösung? Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen? Wir sind für Sie da.

Wir verwenden Ihre Daten, um Sie einmalig per E-Mail zu kontaktieren. Wir geben Ihre Daten nicht an Dritte weiter. Siehe: Datenschutzhinweise
assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 407
Techn. Hotline: +49 4307 900 403
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de