Über die Sicherheitslösung Fortify On Demand for Mobile haben die HP-Experten insgesamt 2107 Apps von 601 Anbietern überprüft. Und in 90 Prozent der Apps sei mindestens eine Schwachstelle zu finden gewesen, urteilen die Sicherheitsexperten. Fortify hatte sich für diesen Test auf Anwendungen auf für Apples iOS beschränkt. Doch die Sicherheitsexperten sind davon überzeugt, dass auch Anwendungen für Android oder andere Plattformen ähnlich unsicher sind.
Bei den gefundenen Schwachstellen unterscheidet die HP-Tochter zwischen vier Kategorien. Der Analyse zufolge schützen 86 Prozent der Apps private Nutzerdaten wie Adressbücher nicht ausreichend vor unbefugten Zugriffen. Ebenfalls 86 Prozent der getesteten Anwendungen seien anfällig für Pufferüberläufe oder die Offenlegung von Verzeichnissen, weil in den Apps häfig keine Schutzmaßnahmen implementiert sind.
Fortify kritisiert darüber hinaus, dass 75 Prozent der Programme Daten nicht verschlüsseln, bevor sie auf einem Gerät gespeichert werden. Unter anderem würden Chat-Protokolle, Dokumente und sogar Passwörter im Klartext abgelegt. 18 Prozent verzichteten zudem auf eine Verschlüsselung, wenn sie Daten über ein Netzwerk übertragen. Bei weiteren 18 Prozent sei die SSL-Verschlüsselung fehlerhaft implementiert, weswegen es auch hier möglich sei, beispielsweise über ein gemeinsam genutztes WLAN persönliche Daten abzufangen.
Mike Armistead, Vizepräsident und General Manager für Fortify Enterprise Security Products bei HP, räumte im Gespräch mit ZDNet.com ein, 71 Prozent der Anfälligkeiten beruhten auf serverseitigen Problemen der Apps. Viele davon wie SQL Injection und Cross-Site-Scripting seien weit verbreitet. Die Folgen seien jedoch sehr ernst. Zudem sei es in den meisten Fällen möglich, die Fehler zu beheben, sobald sie bekannt seien.
HP Fortify folgert aus seiner Studie, dass Entwickler bewährten Methoden folgen müssen, um Angriffe auf ihre Kunden zu verhindern. Dazu zählt es bekannte Ansätze für sicheres Programmieren, Penetrationstests und auch Lösungen wie Fortify Mobile on Demand, um Anwendungen auf Schwachstellen zu prüfen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
