Mobile Sicherheitslücken stopfen

Schwachstellenscanner für Smartphones

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

2. Schwachstellen-Scanner speziell für Android

Die X-Ray App von Duo Security sucht speziell Schwachstellen auf Android-Geräten. Für die Installation muss dem jeweiligen Android-Gerät allerdings erlaubt werden, auch Apps außerhalb von Google Play zu installieren. Da bei einigen App-Stores mit erhöhten Sicherheitsrisiken zu rechnen ist, sollte man diese Einstellung nicht dauerhaft so belassen.

Für Android-Geräte gibt es den kostenlosen Schwachstellen-Scanner X-Ray von Duo Security.
Für Android-Geräte gibt es den kostenlosen Schwachstellen-Scanner X-Ray von Duo Security.
Foto: Screenshot www.xray.io

Nach dem Start durchsucht die Scanner-App das jeweilige Android-Gerät nach bestimmten Schwachstellen. Sie wertet dazu Informationen über die Betriebssystemversion, das Gerätemodell und den Netzbetreiber aus. Wird sie fündig, meldet sie die entsprechenden Schwachstellen. Die Beschreibung der daraus resultierenden Gefahren dürfte jedoch die meisten Anwender etwas überfordern.

Der Schwachstellen-Scanner X-Ray von Duo Security ist allerdings nicht über Google Play verfügbar, sondern muss direkt installiert werden.
Der Schwachstellen-Scanner X-Ray von Duo Security ist allerdings nicht über Google Play verfügbar, sondern muss direkt installiert werden.
Foto: Screenshot www.xray.io

Zudem folgt auf die Entdeckung der Schwachstellen nicht direkt die Fehlerbehebung. Hier muss der Nutzer aktiv werden und sich um die aktuelle Android-Version für sein Smartphone bemühen, sofern eine solche Version bereits oder überhaupt verfügbar ist. Die X-Ray App gibt aber generelle Hinweise zum weiteren Vorgehen und sagt insbesondere, wie man im Android-Betriebssystem die Suche nach möglichen Patches startet.

3. Risikoanalyse für Schwachstellen inklusive

Die Nutzer mobiler Endgeräte können bei Mobilisafe über verfügbare Updates entsprechend intern definierter Richtlinien informiert werden. Nicht aktualisierte Geräte lassen sich blockieren.
Die Nutzer mobiler Endgeräte können bei Mobilisafe über verfügbare Updates entsprechend intern definierter Richtlinien informiert werden. Nicht aktualisierte Geräte lassen sich blockieren.
Foto: Screenshot Präsentation Mobilisafe

Mobilisafe geht einen Schritt weiter und bietet umfangreiche Hilfe bei der Bewertung der entdeckten Schwachstellen. Zum einen erhebt die Software den Versionsstand des mobilen Betriebssystems und informiert den Nutzer über verfügbare Updates, die er mit Hilfe des jeweils auf dem Endgerät angezeigten Link zum Patch direkt installieren kann.

Mobilisafe berechnet auf Basis der entdeckten Schwachstellen Vertrauenswerte und Gefahrenpotenziale für mobile Endgeräte.
Mobilisafe berechnet auf Basis der entdeckten Schwachstellen Vertrauenswerte und Gefahrenpotenziale für mobile Endgeräte.
Foto: Screenshot Präsentation Mobilisafe

Zum anderen berechnet das Programm für jedes analysierte mobile Endgerät aber auch ein Vertrauensfaktor namens TrustScore und gibt damit den Grad der Bedrohung an. Auf dieser Basis ist es möglich, den Anwender gezielt über zu treffende Sicherheitsmaßnahmen zu informieren. Innerhalb der vorgegebenen Zeitspanne nicht aktualisierte Geräte oder solche, deren TrustScore als zu gering definiert sind, lassen sich für den weiteren Netzwerkzugang blockieren.

4. Die "Schwachstelle" Mensch nicht vergessen

Veraltete mobile Betriebssysteme stellen nicht die einzige Sicherheitslücke bei Tablets und Smartphones dar. Auch der Benutzer selbst ist eine Gefahr. 47 Prozent der Smartphone-Nutzer verwenden nach eigenen Angaben keinen Virenschutz; jeder fünfte verzichtet auf jegliche Sicherheitsfunktionen, wie eine BITKOM-Umfrage ergeben hat.

Eine Schwachstellen-Analyse für Smartphones sollte auch den Nutzer nicht vergessen. Mit Core Impact Pro lassen sich verschiedene Angriffe auf Schwachstellen simulieren.
Eine Schwachstellen-Analyse für Smartphones sollte auch den Nutzer nicht vergessen. Mit Core Impact Pro lassen sich verschiedene Angriffe auf Schwachstellen simulieren.
Foto: Screenshot Präsentation Core Security

Dieses mangelnde Risikobewusstsein der Nutzer im mobilen Internet spielt insbesondere dann eine Rolle, wenn ein Unternehmen dem ByoD-Trend (Bring your own Device) folgt, bei dem private Endgeräte betrieblich genutzt werden. Entscheidend ist hier eine andere Form mobiler Schwachstellensuche - die Suche nach unerlaubten Apps auf betrieblich genutzten Smartphones und Tablets. Helfen können die Scanning-Funktionen der Mobile Device Manager wie AirWatch Mobile Device Management oder Sophos Mobile Control, die die auf den Endgeräten installierten Apps ausfindig machen und die von den Vorgaben abweichenden Geräte blockieren.

Core Impact Pro simuliert auch Phishing-Attacken oder Attacken auf Schwachstellen mobiler Betriebssysteme.
Core Impact Pro simuliert auch Phishing-Attacken oder Attacken auf Schwachstellen mobiler Betriebssysteme.
Foto: Screenshot Präsentation Core Security

Das sicherheitsrelevante Verhalten der Nutzer kann ebenfalls einer Art Schwachstellenanalyse unterzogen werden. Möglich wird dies zum Beispiel mit Core Impact Pro. Damit lassen sich Phishing-Tests über E-Mail und SMS für die mobilen Nutzer genauso aufsetzen wie das Vorspielen bösartiger WLAN Access Points, die auf Dienstreisen den mobilen Anwendern und ihren Daten schnell zum Verhängnis werden könnten. Auch die Demonstration, wie einfach heimliche Bewegungsprofile der Nutzer erstellt werden können, zeigt deutlich, welche Folgen unsichere Einstellungen und Funktionen bei Smartphones und Tablets unter Umständen haben.

5. Auch die Apps haben Schwachstellen

Die Suche nach Schwachstellen mobiler Endgeräte darf natürlich die Apps nicht außer Acht lassen. Eine Studie von Arxan zeigt, dass über 90 Prozent der 100 beliebtesten, kostenpflichtigen Apps für Hacker angreifbar sind.

Lösungen wie IBM Security AppScan machen sich auf die Suche nach unsicheren, angreifbaren Apps. Damit können auch intern entwickelte mobile Apps auf Schwachstellen hin geprüft und noch vor der Produktivphase besser abgesichert werden. Bereits verfügbare Apps sind mit App-Scannern prüfbar - diese lassen sich teil als Bestandteil mobiler Sicherheitslösungen, teils als Cloud-Dienst nutzen.

Zur Startseite