HP Fortify findet Anfälligkeiten in neun von zehn mobilen Apps

Die Hewlett-Packard-Tochter Fortify hat bei Tests in 90 Prozent aller mobilen Anwendungen mindestens eine Schwachstelle entdeckt. Insgesamt wurden mit Fortify On Demand for Mobile 2107 Apps von 601 Anbietern überprüft. Zwar handelte es sich ausschließlich um Apps für Apples Mobilbetriebssystem iOS, Fortify ist aber davon überzeugt, dass die Gegenstücke der Programme für Android ähnlich unsicher sind.

Bei den gefundenen Schwachstellen unterscheidet die HP-Tochter zwischen vier Kategorien. Der Analyse zufolge schützen 86 Prozent der Apps private Nutzerdaten wie Adressbücher nicht ausreichend vor unbefugten Zugriffen. Ebenfalls 86 Prozent der getesteten Anwendungen seien anfällig für Pufferüberläufe oder die Offenlegung von Verzeichnissen, weil nötige Schutzmaßnahmen nicht implementiert seien.

Fortify kritisiert auch, dass 75 Prozent der Programme Daten nicht verschlüsselt, bevor sie auf einem Gerät gespeichert werden. Unter anderem würden Chat-Protokolle, Dokumente und sogar Passwörter im Klartext abgelegt. 18 Prozent verzichteten zudem auf eine Verschlüsselung, wenn sie Daten über ein Netzwerk übertragen. Bei weiteren 18 Prozent sei die SSL-Verschlüsselung fehlerhaft implementiert, weswegen es auch hier möglich sei, beispielsweise über ein gemeinsam genutztes WLAN persönliche Daten abzufangen.

Mike Armistead, Vizepräsident und General Manager für Fortify Enterprise Security Products bei HP, räumte im Gespräch mit ZDNet.com ein, 71 Prozent der Anfälligkeiten beruhten auf serverseitigen Problemen der Apps. Viele davon wie SQL Injection und Cross-Site-Scripting seien weit verbreitet. Die Folgen seien jedoch sehr ernst. Zudem sei es in den meisten Fällen möglich, die Fehler zu beheben, sobald sie bekannt seien.

HP Fortify folgert aus seiner Studie, dass Entwickler bewährten Methoden folgen müssen, um Angriffe auf ihre Kunden zu verhindern. Dazu zählt es bekannte Ansätze für sicheres Programmieren, Penetrationstests und auch Lösungen wie Fortify Mobile on Demand, um Anwendungen auf Schwachstellen zu prüfen.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago