Leider nichts, was nicht ziemlich oft passiert. App-Entwickler integrieren häufig Advertising Software Development Kits (SDKs), damit sie Nutzern problemlos Werbung präsentieren können. Besonders wichtig bei ansonsten kostenlosen Apps. Wir konnten bereits in der Vergangenheit Fälle beobachten, bei denen solche SDKs selbst zu aggressiven oder sogar bösartigen Varianten „mutiert“ sind. In diesem konkreten Fall haben die Entwickler des Barcode Scanners den bösartigen Code allerdings absichtlich verschleiert, damit man ihnen nicht auf die Schliche kommt. Die banale Lehre daraus: App-Bedrohungen entwickeln sich kontinuierlich weiter. Hier wurden über ein simples Update Millionen von Geräten mit bösartigem Code infiziert. Glücklicherweise ging es hier „nur“ darum, aggressiv Werbung zu schalten.
Allerdings braucht man nicht viel Fantasie, um sich auszumalen, was ein deutlich raffinierterer Code hätte anrichten können. Dabei macht es keinen Unterschied, ob als Privatperson oder Geschäftsführer eines Unternehmens- Sie brauchen Transparenz darüber, was genau die verwendeten Apps auf Smartphones, Tablets oder Chromebooks tun.
Kann das prinzipiell mit jeder App passieren?
Sicherheitsforscher beobachten Phänomene wie das oben beschriebene am häufigsten bei Apps mit bestimmten Basisfunktionen. Barcode Scanner ist ein QR-Code-Scanner, aber es hätte genauso gut eine Taschenlampen- oder Wallpaper-App sein können. Böswillige Akteure bevorzugen Apps mit einer vergleichsweise einfach strukturierten Codebasis, die sich leicht verändert lässt. Außerdem sind solche Apps meistens ziemlich populär und werden von vielen verwendet.
Es gibt im Wesentlichen zwei Wege, wie aus einer legitimen eine bösartige App werden kann:
1. Der ursprüngliche App-Entwickler wechselt sozusagen die Seiten und bettet eine Malware in die legitime Anwendung ein. Das kommt bei weitem häufiger vor als man gemeinhin annehmen mag. Ein Beispiel aus dem Jahr 2019 ist BeiTaAd, eingebettet in über 200 Apps mit insgesamt über 440 Millionen Installationen.
2. Die zweite Taktik betrifft tendenziell eher Apps, die von unabhängigen Entwicklern veröffentlicht werden. Nicht selten sind solche Entwickler bereit, ihre Apps für einen fairen Preis zu verkaufen. Und unter den Käufern sind eben auch solche mit weniger edlen Absichten. Potenzielle Angreifer zahlen unter Umständen zusätzlich für das ursprüngliche Entwicklerzertifikat, weitere zugehörige Konten und die Upload-Schlüssel.
Hat der Käufer dann die Anwendung samt Zubehör erworben, kann er problemlos und schnell bösartigen Code implementieren. Zudem verfügt der Angreifer jetzt über Schlüssel, Zertifikate und die mit der App verbundenen Konten. Das heißt, er kann in aller Ruhe ein Update einspielen, ohne dass die Alarmglocken schrillen.
Aus legitim wird bösartig – wie kann man sich vorbereiten?
Unabhängig davon, ob man Szenario eins oder zwei zugrunde legen will, sollte man im Auge behalten, wie schnell aus einer harmlosen eine bösartige App werden kann. Mobile Geräte sind unverzichtbarer Teil alltäglicher Geschäftsprozesse geworden. Apps werden täglich aktualisiert. Jeder Einzelne und das Unternehmen als Ganzes sollten böswilliges Verhalten als solches erkennen und in Echtzeit Maßnahmen ergreifen können.
Das klingt allerdings einfacher als es ist und wird schier unmöglich, wenn Firmen ein Bring-Your-Own-Device (BYOD)-Programm umsetzen. Denn dann haben Sie keinerlei Kontrolle oder Transparenz mehr, was sich auf diesen mobilen Geräten befindet. Im Übrigen ist das auch ein gutes Beispiel, wo eine Mobile Device Management (MDM)-Lösung an ihre Grenzen kommt. Wenn Sie die Geräte Ihrer Mitarbeiter an der MDM-Lösung registrieren, haben Sie zwar die Möglichkeit, Apps zu verwalten und Updates einzuspielen. Was Ihnen aber dennoch fehlt, ist ausreichende Transparenz. Nehmen wir an, ein Angreifer hat alle notwendigen Komponenten von einem (legitimen) Entwickler erworben. Dann geht eine MDM-Lösung folglich davon aus, dass die App sicher ist, weil sich augenscheinlich nichts geändert hat.
Wie kann man sich vor den Risiken schützen?
Perimeter-basierte Sicherheitslösungen sind inzwischen obsolet geworden. Wenn einem Unternehmen oder einem einzelnen Benutzer der Einblick fehlt, aus welchen Komponenten sich eine mobile App zusammensetzt, entsteht ein blinder Fleck. Der betrifft das damit einhergehende konkrete Risiko, die Compliance im Unternehmen und das gesamte Risikoprofil. Das Beispiel Barcode Scanner erinnert uns einmal mehr daran.
Um sich vor solchen Risiken besser zu schützen, sollte man zwei Empfehlungen beherzigen:
- Erstens: Die Benutzer über die Folgen aufklären, die Schad-Apps für sie selbst und für das gesamte Unternehmen haben können. Selbst übermäßig vergebene Berechtigungen gefährden potenziell private und geschäftliche Daten.
- Zweitens: Suchen Sie nach einer mobilen Sicherheitslösung, die maschinelles Lernen und Crowd-Sourced-Daten verwendet. Wer in Echtzeit darüber Bescheid wissen will, welches Risiko die verwendeten Apps darstellen, der kann nicht erst Unmengen von Inhalten scannen.