Mirko Brandner

ist Entwickler, Berater und Produktmanager und seit 2013 Senior Sales Engineer bei Arxan Technologies.

Pokémon No? Sicherheitslektionen eines Spiels

Pokémon Go ist ein riesen Erfolg für die Entwickler, aber ein Albtraum für die Sicherheit der Anwender. Mirko Brandner von dem auf App-Sicherheit spezialisierten Anbieter Arxan, sieht zahlreiche erhebliche Sicherheitslücken, die die Sicherheit der Nutzer gefährden.

Aus Sicht vieler Mobile Gaming-Fans war 2016 sicherlich das Jahr von Pokémon Go. Der weltweite Erfolg des Augmented-Reality-Games, in dem Spieler Fantasiewesen fangen, trainieren und in virtuelle Kämpfe gegen andere Pokémon schicken können, war bemerkenswert. Fünf Guinness Weltrekorde hat die Spiele-App seit ihrer Veröffentlichung im Juli dieses Jahres bereits gebrochen. Kein anderes Mobile Game hat im ersten Monat so viel Geld eingespielt wie Pokémon Go, nämlich 206,5 Millionen US-Dollar.

pokemon-go-800

Pokémon Go hat einen neuen Maßstab gesetzt, den Spieleentwickler fortan gewiss zu übertreffen versuchen werden. Zumindest in einer Hinsicht sollten sich Spieleentwickler jedoch nicht an der Strategie des verantwortlichen Entwicklerstudios Niantic orientieren – und zwar in Sachen Security.

Datenschutz, Fake-Apps & Cheating

Bereits bei der Markteinführung des Spiels kam erste Kritik hinsichtlich des Datenschutzes auf. Denn wer sich auf seinem iPhone mit einem Google-Account anmeldete, gewährte dem Anbieter der App vollen Zugriff auf sein Konto. Der Anbieter konnte so unter anderem sämtliche E-Mails lesen oder getätigte Suchanfragen einsehen.

Spieleentwickler Niantic versicherte, keine der erweiterten Berechtigungen seiner Kunden (aus)genutzt zu haben, und veröffentlichte schnell eine neue iOS-Version der App. Ein anderes Sicherheitsproblem, das die Pokémon-Community auf Trab gehalten hat, waren gefälschte Versionen der Spiele-App, die die betroffen Geräte mit gefährlicher Malware verseucht haben und daraufhin sensible Daten absaugen konnten.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Für die Spieleindustrie weitaus geschäftsschädigender sind jedoch Hacker, die sich Zugang zu den Programmierschnittstellen (APIs) verschaffen, um so Schummeleien und Betrug im Spiel zu ermöglichen. Auch für Pokémon Go waren in kürzester Zeit diverse Cheats und Bots im Umlauf, die die Kommunikation zwischen dem Client und den Server-APIs fälschen und dem Spieler so unfaire Vorteile verschaffen.

Mit Hilfe gefälschter GPS-Daten können Spieler so zum Beispiel automatisch und ohne eigenen Input Pokéstops ablaufen, Pokémons fangen und damit letztlich effizienter leveln. Ein Problem, das mittlerweile so gut wie alle beliebten Online-Games und insbesondere Multiplayer-Rollenspiele betrifft und für die Industrie erhebliche Umsatzeinbußen, zum Beispiel durch das Ausbleiben von In-App-Käufen, nach sich zieht.

Um den unautorisierten Zugang zu seinen Servern einzudämmen, hat Hersteller Niantic immer wieder Updates veröffentlicht, was sich jedoch letztlich als Sisyphusarbeit herausstellte. Denn meist dauerte es nur wenige Tage bis die Hacker die neuen Sicherheitskontrollen erneut überwinden konnten und dabei auch komplexe, krpytographische Hash-Funktionen identifizieren und zurückentwickeln konnten.

Sichere Schlüssel – sichere App

Beim Hacken einer Applikation konzentrieren sich die Angreifer vornehmlich auf die kryptographischen Keys, denn sie ermöglichen es, verschlüsselte Daten zu dechiffrieren und öffnen daher die Türe für vielfältige schädliche Aktivitäten. Auch die Kommunikation zwischen den Clients und den APIs der Spiele-Server werden über kryptographische Schlüssel kontrolliert.

Den Zugang regelt normalerweise ein kryptographisches Challenge-Response-Protokoll, das den mobilen Client dazu auffordert, öffentliches und geschütztes Schlüsselmaterial für jede asymmetrische Verschlüsselung bereit zu halten. Ist der Angreifer nun in der Lage, die Schlüssel zu dechiffrieren, kann er die Kommunikation manipulieren und illegaler Weise auf den Server zugreifen.

Wer seine Apps dauerhaft sicher und vertrauenswürdig halten möchte, darf auf zwei Sicherheitsmaßnahmen nicht verzichten: Cryptographic Key Protection sowie Binärcode-Verschleierung. Denn nur wenn der App-Code aktiv verschleiert wird, kann das unautorisierte Auslesen und Extrahieren sensibler Informationen verhindert werden.

Auch die Entfernung ungenutzten Programmcodes aus dem Binärcode oder die Abänderung leichtverständlicher Programmsymbolnamen erschwert einen Crack. Eine weitere effektive Sicherheitsmaßnahme, um Schlüssel auf nicht vertrauenswürdigen Geräten sicher zu halten, ist eine Technik namens White-Box-Kryptographie.

Tipp der Redaktion

Die besten Apps für Business-Trips

Smartphones sind unterwegs nicht nur als Kommunikations-Tool und für den Internetzugang nützlich. Zahlreiche Apps helfen, sich auf Reisen besser zurechtzufinden. Die silicon-Redaktion stellt 20 spannende, praktische und nützliche Apps vor.

Dieser Ansatz kombiniert mathematischen Algorithmus mit Daten- und Code-Obfuscation-Techniken und verändert so den Schlüssel auf eine Art und Weise, dass er von Angreifern nicht mehr lokalisiert oder extrahiert werden kann. Darüber hinaus sollte jede Applikation auf Binärcode-Ebene mit mehrschichtigen und dynamischen Schutzmechanismen ausgestattet werden, die einen Laufzeit-Selbstschutz (RASP) ermöglichen.

Denn nur eine derart gehärtete App ist in der Lage, proaktiv und dynamisch ihre eigene Integrität zu wahren und Manipulationsversuche jeglicher Art selbstständig zu erkennen und abzuwehren – und zwar in Echtzeit, auf jedem Gerät und in jeder Umgebung.

Die (Un)Sicherheit der Pokémon Go-App wurde in den letzten Monaten heiß diskutiert. Tatsache ist aber, dass die große Mehrzahl an Applikationen teils massive und schwerwiegende Sicherheitslücken aufweisen. Vor allem in regulierten und sicherheitskritischen Bereichen wie dem Finanzwesen, dem Automotive-Sektor oder der Medizingeräteindustrie können solche Sicherheitslücken ungeahnte und teils lebensbedrohliche Folgen nach sich ziehen.

Entwickler, die an der nächsten Erfolgs-App basteln, sei es im Gaming-Umfeld oder sonst wo, sollten sich die Sicherheitsprobleme von Pokémon Go daher zu Herzen nehmen und die Sicherheit ihrer Kunden, ihres geistigen Eigentums und ihrer Reputation von Anfang an im Blick haben.