Categories: Open SourceSoftware

Forscher warnen vor Open-Source-Bugs in kommerziellen Banking-Apps

Forscher von Black Duck Software weisen auf „erhebliche Risiken“ bei der Verwendung von Software hin, die Open-Source-Komponenten enthält. Im Rahmen einer Studie untersuchten sie 1000 Anwendungen, die häufig in Unternehmen zum Einsatz kommen. Darunter waren auch Banking-Apps, die im Durchschnitt jeweils 52 Open-Source-Anfälligkeiten enthielten. Bei 60 Prozent dieser Apps stuften die Forscher mindestens eine Schwachstelle als kritisch ein.

Von den untersuchten Apps nutzten 96 Prozent Open-Source-Komponenten. Bei 60 Prozent der Apps steckten in genau diesem Code gefährliche Schwachstellen. In einigen Fällen waren die Fehler sogar schon seit mehr als vier Jahren bekannt und nicht gepatcht worden.

Den höchsten Anteil von Software mit schwerwiegenden Open-Source-Lücken entdeckten die Forscher im Einzel- und Onlinehandel. Hier hatten 83 Prozent der Anwendungen als kritisch zu bewertende ungepatchte Schwachstellen im Open-Source-Code.

Entwickler greifen in der Regel auf Open Source zurück, um die Kosten für die Entwicklung eigener Anwendungen zu reduzieren. Zudem hilft der „fertige“ Code ihnen, ihre Produkte schneller zur Marktreife zu führen und ihre Apps um innovative Funktionen zu erweitern. Allerdings werden solche Open-Source-Projekte oftmals nur durch eine Community betreut, deren Mitglieder sich nur nebenbei und ohne Bezahlung um die Pflege des Codes kümmern können.

Baut eine kommerzielle Software auf einer Open-Source-Komponente auf, dann enthält sie unter Umständen auch deren Sicherheitslücken. Die Open-Source-Community stellt in der Regel zwar die benötigten Patches bereit, die jedoch nicht automatisch in die Anwendungen von Drittanbietern einfließen. Dafür sind ausschließlich deren Entwickler verantwortlich.

Laut der Studie ist vielen dieser Anbieter jedoch gar nicht bewusst, welche Teile ihrer Software auf Open Source basieren. Als Folge traten bei 85 Prozent der untersuchten Anwendungen Lizenz-Probleme auf. „Jeder benutzt viel Open Source, aber wie die Studie zeigt, leisten nur wenige bei der Erkennung und Überwachung von Open-Source-Komponenten und Anfälligkeiten in ihren Applikationen gute Arbeit“, sagte Chris Fearon, Direktor der Open Source Security Research Group von Black Duck.

Ein bekanntes Beispiel für eine Lücke in einer Open-Source-Software mit zahlreichen kommerziellen Implementierungen ist der als Heartbleed bezeichnete Bug in OpenSSL. Der Fehler, der unter anderem Webserver angreifbar macht, wurde im April 2014 entdeckt. Obwohl sich Hersteller beeilten, schnell Updates zu veröffentlichen, waren im Juni 2014 noch 300.000 Server weltweit betroffen. Ende Januar 2017, also mehr als zweieinhalb Jahre später, meldete die Suchmaschine Shodan noch knapp 200.000 Services, die auf einer für Heartbleed anfälligen OpenSSL-Version basieren.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago