Categories: Open SourceSoftware

Forscher warnen vor Open-Source-Bugs in kommerziellen Banking-Apps

Forscher von Black Duck Software weisen auf „erhebliche Risiken“ bei der Verwendung von Software hin, die Open-Source-Komponenten enthält. Im Rahmen einer Studie untersuchten sie 1000 Anwendungen, die häufig in Unternehmen zum Einsatz kommen. Darunter waren auch Banking-Apps, die im Durchschnitt jeweils 52 Open-Source-Anfälligkeiten enthielten. Bei 60 Prozent dieser Apps stuften die Forscher mindestens eine Schwachstelle als kritisch ein.

Von den untersuchten Apps nutzten 96 Prozent Open-Source-Komponenten. Bei 60 Prozent der Apps steckten in genau diesem Code gefährliche Schwachstellen. In einigen Fällen waren die Fehler sogar schon seit mehr als vier Jahren bekannt und nicht gepatcht worden.

Den höchsten Anteil von Software mit schwerwiegenden Open-Source-Lücken entdeckten die Forscher im Einzel- und Onlinehandel. Hier hatten 83 Prozent der Anwendungen als kritisch zu bewertende ungepatchte Schwachstellen im Open-Source-Code.

Entwickler greifen in der Regel auf Open Source zurück, um die Kosten für die Entwicklung eigener Anwendungen zu reduzieren. Zudem hilft der „fertige“ Code ihnen, ihre Produkte schneller zur Marktreife zu führen und ihre Apps um innovative Funktionen zu erweitern. Allerdings werden solche Open-Source-Projekte oftmals nur durch eine Community betreut, deren Mitglieder sich nur nebenbei und ohne Bezahlung um die Pflege des Codes kümmern können.

Baut eine kommerzielle Software auf einer Open-Source-Komponente auf, dann enthält sie unter Umständen auch deren Sicherheitslücken. Die Open-Source-Community stellt in der Regel zwar die benötigten Patches bereit, die jedoch nicht automatisch in die Anwendungen von Drittanbietern einfließen. Dafür sind ausschließlich deren Entwickler verantwortlich.

Laut der Studie ist vielen dieser Anbieter jedoch gar nicht bewusst, welche Teile ihrer Software auf Open Source basieren. Als Folge traten bei 85 Prozent der untersuchten Anwendungen Lizenz-Probleme auf. „Jeder benutzt viel Open Source, aber wie die Studie zeigt, leisten nur wenige bei der Erkennung und Überwachung von Open-Source-Komponenten und Anfälligkeiten in ihren Applikationen gute Arbeit“, sagte Chris Fearon, Direktor der Open Source Security Research Group von Black Duck.

Ein bekanntes Beispiel für eine Lücke in einer Open-Source-Software mit zahlreichen kommerziellen Implementierungen ist der als Heartbleed bezeichnete Bug in OpenSSL. Der Fehler, der unter anderem Webserver angreifbar macht, wurde im April 2014 entdeckt. Obwohl sich Hersteller beeilten, schnell Updates zu veröffentlichen, waren im Juni 2014 noch 300.000 Server weltweit betroffen. Ende Januar 2017, also mehr als zweieinhalb Jahre später, meldete die Suchmaschine Shodan noch knapp 200.000 Services, die auf einer für Heartbleed anfälligen OpenSSL-Version basieren.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago