Sicherheit bei Apps: Besserung bei Apple, Rückschritte bei Google

Eine interessante Grafik ist vor wenigen Minuten in unserem Postfach gelandet. Es dreht sich um die Sicherheit von Apps.

„Das auf die Qualifizierung und Zertifizierung von Apps spezialisierte Unternehmen mediaTest digital präsentiert eine Statistik zum Thema App-Sicherheit mit einem alarmierenden Trend als Ergebnis“, heißt es in dieser Mail. Wie sicher Apps für iOS und Android sind, soll eine Untersuchung zeigen, die an 900 getesteten Apps durchgeführt wurde, 444 davon stammen aus Apples App Store.

Bevor wir uns um die Zahlen kümmern, müssen wir kurz klären, was überhaupt als Sicherheitsverstoß gewertet wird. Laut der durchführenden Firma sind das neben dem ungefragten Versand der UDID und IMEI (eindeutige Gerätekennung) an Dritte auch weitere Daten wir Adresskontakte, GPS-Standortdaten, Passwörter, Mobilfunkanbieter und weitere sensible Daten.

Wie mediaTest digital herausgefunden hat, hat die Anzahl der Verstöße vor allem auf der Android-Plattform deutlich zugenommen. 2011 wiesen 32,9 Prozent der getesteten Apps Mängel auf. Nur ein Jahr später lag der Wert im Google Play Store schon bei 43,6 Prozent. Positive Entwicklungen gibt es dagegen bei der iOS-Plattform: Hier ist der Wert der Sicherheitsverstöße von 32,9 auf nur noch 25,9 Prozent gesunken. Getestet wurden Apps, die zum jeweiligen Zeitpunkt weit oben in den Charts auftauchten und auf beiden Plattformen entsprechend weit verbreitet sein dürften.

Weiterlesen

WhatsApp: 91 Prozent nutzen es trotz Sicherheitsmängel

Wir sind euch noch ein paar Antworten schuldig – nicht nur, wie viele Nutzer den WhatsApp Messenger nutzen, sondern auch wie es um die Sicherheit aussieht.

Quasi zeitgleich mit dem Start unserer kleinen Umfrage am Samstag sind beim WhatsApp Messenger (App Store-Link) erhebliche Sicherheitsmängel bekannt geworden. Ich habe zunächst darauf verzichtet, näher darauf einzugehen – und wollte schauen, ob sich das Ergebnis der Umfrage auf irgendeine Art und Weise verändert. Im App Store sind die Bewertungen mittlerweile auf einen Schnitt von zweieinhalb bis drei Sternen gefallen, hier scheint man also durchaus registriert zu haben, wie es steht.

Kommen wir aber zunächst einmal zum Ergebnis der Umfrage. Knapp 5.000 appgefahren-Nutzer haben sich an der Umfrage beteiligt, 91 Prozent von ihnen nutzen laut eigenen Angaben WhatsApp – das ist schon eine Hausnummer, mit der ich selbst nicht gerechnet hätte. Für mich spielt WhatsApp seit der Einführung von iOS 5 und iMessage ohnehin keine Rolle mehr – genau wie die SMS.

Im Gegensatz zur bis vor einigen Wochen umverschlüsselten Übertragung der Nachrichten, scheint das aktuelle Sicherheitsproblem deutlich gravierender zu sein. Es ist, laut einem Bericht von Heise-Security, nämlich möglich, ganze Accounts zu übernehmen – ohne, dass der eigentliche Nutzer davon etwas mitbekommt und später etwas dagegen tun kann.

Weiterlesen

Clueful: Welche Apps greifen auf das Adressbuch zu?

Vor einigen Wochen ist das Angebot von Bitdefender aus dem App Store verschwunden, nun kann man per Web-App darauf zurückgreifen.

Clueful (Web-App-Link) bietet eine Datenbank von rund 100.000 iOS-Applikationen und zeigt an, was die Apps im Hintergrund alles für Schabernack treiben. Wer greift vielleicht auf die Kontaktliste zu, welche App sichert ihre Daten nicht verschlüsselt und wer sonst noch nach Hause telefoniert.

Man kann die Web-App entweder auf seinem Homescreen ablegen oder sich ein Lesezeichen setzen. Der Zugriff ist praktischerwesie auch vom Computer aus möglich. Im Suchfeld gibt man einfach den Namen der App ein und wählt dann das entsprechende Suchergebnis aus.

Klar ist natürlich, dass eine App zur Sicherung der Kontakte gerne Zugriff auf das Adressbuch hätte. Es soll aber laut Clueful auch Taschenlampen-Apps geben, die auf die Kontakte zugreifen – das muss dann natürlich nicht wirklich sein.

Weiterlesen

WhatsApp Messenger: Update verschlüsselt Nachrichtenversand

Gestern Abend ist ein WhatsApp-Update erschienen, das Nachrichten endlich verschlüsselt.

Bereits vor einigen Wochen hatten diverse Blogs berichtet, dass der beliebte WhatsApp Messenger (App Store-Link) Nachrichten endlich verschlüsselt überträgt. Ich fand das schon nötig, gerade wenn man offene WLANs nutzen wollte. Allerdings habe ich mich gefragt, wie die Verschlüsselung ohne Update funktionieren soll. Ich nehme an, dass sie es nicht tat, denn eine entsprechende Aktualisierung wurde gestern Abend veröffentlicht.

Der 79 Cent teure Messenger, der nur für das iPhone verfügbar ist, liegt ab sofort in Version 2.8.3 vor. Neben der Verschlüsselung werden jetzt unter anderem Profilnamen für unbekannte Nummern in Gruppen-Chats angezeigt, die Weiterleitung von Nachrichten wurde verbessert und die Farbe der Aktivitätsanzeige wurde verändert. Ebenfalls nur: Der Auto-Download von Bildern wurde aktiviert.

Insgesamt handelt es sich ein Update, das man sich auf jeden Fall laden sollte – allein der Sicherheit wegen. Im eigenen Netzwerk und mit einer mobilen Datenverbindung gab es bisher zwar keine Gefahr, in öffentlich genutzten WLANs konnten Nachrichten mit entsprechenden Tools aber „abgefangen“ werden.

Weiterlesen

Undercover: Gestohlene Macs verfolgen und aufspüren

Wenn der eigene Mac gestohlen wird, ist der Ärger groß. Gute Chancen hat man mit Undercover.

Undercover (Hersteller-Webseite) ist kein Diebstahlschutz, sondern viel mehr ein Spion, der auf der Suche nach dem Dieb behilflich ist. Vor wenigen Tagen haben die Entwickler eine für Mountain Lion angepasste Version veröffentlicht, die man für 40 Euro laden kann. Eine Familienlizenz gibt es für 50 Euro. Das ist sicher nicht ganz billig, im Falle des Falles kann die Investition aber Gold wert sein.

Bei der Installation nistet sich Undercover tief im System ein und kann ohne weiteres nicht gefunden oder deinstalliert werden. Solange man im Besitz des Macs ist, passiert soweit nichts – die Applikation läuft seelenruhig im Hintergrund. Ernst wird es erst, wenn man den Mac im Kontrollzentrum des Herstellers als gestohlen markiert.

Weiterlesen

Little Snitch: Internet-Überwachung zum halben Preis

Die empfehlenswerte Mac-Software Little Snitch gibt es heute zum halben Preis.

Der Mac bringt zwar eine eingebaute Firewall mit, sonderlich viel überwachen kann man damit aber nicht. Wer herausfinden will, welche Systemkomponenten und Programme gerne „nach Hause telefonieren“, sollte einen Blick auf Little Snitch werfen.

Sobald ein Programm auf das Internet zugreifen will, wird man von Little Snitch darüber informiert und kann dann entscheiden, ob man die Verbindung erlauben oder verbieten will. Natürlich kann man festlegen, ob diese Entscheidung einmalig oder dauerhaft ist, auch einzelne Ports kann man gezielt freigeben.

Little Snitch ist jedenfalls ein einfach gestalteter und doch leistungsfähiger Helfer, der problemlos im Hintergrund mitlaufen kann. Am heutigen Dienstag kann man Little Snitch noch vergünstigt laden, statt 29,95 zahlt man nur 14,99 US-Dollar (zur Aktion).

Weiterlesen

Unbedingt laden: Sicherheitsupdate für den Mac

Lange hieß es, der Macintosh sei nicht anfällig für Viren und Trojaner, aber jetzt hat sich ein Wurm eingeschlichen.

Bisher sollen rund 550.000 Macs von dem Virus befallen sein, der sich durch eine Sicherheitslücke in der Programmiersprache Java verbreitet. Der Trojaner nennt sich BackDoor-Flashback und baut zunächst eine Verbindung zum Botnetz der Hacker auf – danach soll er helfen, Passwörter bestimmter Anwendungen auszuspionieren, unter anderem sei Skype betroffen.

Der Trojaner ist schon länger bekannt und tarnt sich als Flash-Player. Einfangen soll man ihn sich besonders gerne auf dubiosen Streaming-Seiten. Dabei tarnt sich der Trojaner als als Installationsroutine und soll so selbst dann auf den Computer gelangen, wenn das Admin-Passwort nicht eingegeben wird.

Um die Lücke zu schließen sollte man das von Apple bereitgestellt Sicherheitsupdate sofort herunterladen und installieren, um weiteren Schaden vorzubeugen. Ist nun die Zeit vorbei, wo ein Mac ohne Virenprogramm unbedenklich genutzt werden kann? Derzeit kommt man sicherlich noch sehr gut ohne Virensoftware aus, wenn man sich mit Obacht im Internet bewegt und wirklich nur vertrauenswürdige Programme aus sicheren Quellen installiert.

Weiterlesen

Mangelnde Sicherheit: iControl-Entwickler kennt sich nicht aus

Wir sind wahrlich keine Sicherheitsexperten, vertrauen in diesem Fall aber den Experten von heise online. Es geht um iControl (iPhone/iPad).

Die Banking-App hatten wir zuletzt vor ein paar Wochen in den News, damals gab es eine Preisreduzierung auf 79 Cent. Mittlerweile kosten beide iControl-Apps für das iPhone und iPad wieder 4,99 Euro, trotzdem wollen wir euch Erkenntnisse der Kollegen von heise online nicht vorenthalten.

Mittlerweile hat der Entwickler Tuong Hoang die Sicherheitslücke aus der Version 2.4.4 zwar mit einem Update behoben, bedenklich ist die ganze Geschichte aber schon. In der Vorgängerversion wurde das Zugangspasswort im Klartext auf dem Gerät gespeichert. Schon zuvor war das Programm in einem Sicherheitstest negativ aufgefallen.

Der Entwickler hat nun selbst zugegeben, dass er sich in Sicherheitsfragen nicht wirklich auskennen würde. Das stimmt uns schon etwas bedenklich: Warum kommt man auf die Idee, eine Banking-App zu entwickeln, wenn man sich nicht 100-prozentig mit der Sicherheit auskennt?

Wer ab und zu auch mit dem iPhone oder iPad seinen Kontostand überprüfen will oder auch mal eine Überweisung tätig, sollte daher lieber zu iOutBank greifen. Entwickler Tobias Stöger schreibt Sicherheit groß und lässt seine Apps sogar extern prüfen. Eine totale Sicherheit gibt es so natürlich auch nicht, wir halten das aber für die deutlich bessere Alternative. iOutbank kostet 6,99 und 9,99 Euro (iPhone/iPad).

Weiterlesen

Neue Überweisungsmethode: Der BezahlCode

Gestern Nachmittag hatten wir euch darüber informiert, dass iOutBank einem Update unterzogen wurde.

Eine wichtige Funktion wurde noch nicht genannt – der BezahlCode. Aber was genau ist ein BezahlCode? Die Funktionsweise ist relativ simpel. Man nimmt mit der iPhone Kamera den QR-Code auf, iOutBank erkennt diesen Code und fügt automatisch alle Daten des Empfängers in die Eingabefelder ein. Was ein QR-Code ist und wie dieser aussieht, könnt ihr hier nachlesen.

Im Moment unterstützt lediglich die App iOutBank diese Funktion. Im Laufe der Zeit wird sich der BezahlCode sicher bei einigen Firmen, Unternehmer, oder auch Privatanwender durchsetzen. Ein klarer Vorteil ist, dass keine Daten mehr, wie Kontonummer oder Bankleitzahl, auf Rechnungen angegeben werden müssen.

Im folgenden Promovideo seht ihr die Funktionsweise von iOutBank Pro und dem Bezahlcode. Wie findet ihr diese Idee? Ist sie zukunftsweisend?

Weiterlesen

securityNews: Mögliche Bedrohungen im Blick

Im Internet lauern überall gefahren. Egal ob mit Windows, Linux, Mac oder dem iPhone und iPad.

Wer sich über aktuelle Sicherheitshinweise informieren will, kann zur kostenlosen App securityNews greifen, die bereits Ende des letzten Jahres im App Store erschienen ist, von uns aber bisher unbeachtet blieb.

Bevor die Sicherheitsmeldungen beim Nutzer über die iPhone-App erscheinen, werden die Meldungen gebündelt und vom Institut geprüft und bewertet. Im nächsten Schritt werden die Meldungen kategorisiert und je nach Anlass mit leicht verständlichen Handlungsempfehlungen kombiniert, die es dem Abonnenten ermöglichen, umgehend auf die Gefahren zu reagieren.

securityNews bietet darüber hinaus auch eine übersichtliche Darstellung der aktuellen Sicherheitslage des Internets in Form von drei Barometerwerten an. Diese grafische Darstellung spiegelt das Spam-Aufkommen und die Aktivität durch Schadprogramme sowie die aktuelle Gefahr durch Sicherheitslücken anschaulich wider. Die drei Barometerwerte beziehen ihre Daten aus rund 20 verlässlichen Quellen.

„Mit der neuen iPhone-App erreichen mich die Meldungen mit Installationsanweisungen jetzt sogar unterwegs. Bevor ich den Rechner einschalte, weiß ich, welche Updates ich installieren muss, um mich sicher im Internet zu bewegen“, so Professor Norbert Pohlmann vom Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen.

In eigener Sache: Heute Nachmittag hatten wir ein paar kleinere Probleme mit den Push-Benachrichtigungen, die aber nun wieder reibungslos funktionieren sollten.

Weiterlesen

Für die Sicherheit: iOutBank sperrt iOS 3 aus

Tobias Stöger hat iPhone-, iPad– und Gratis-Version von iOutBank aktualisiert und setzt nun auf iOS 4.

Wenn es um mobiles Banking mit dem iPhone oder iPad geht, gehört iOutBank zu unserem absoluten Favoriten, auch wenn man für die App ein paar Euro mehr bezahlen muss, als für die Konkurrenz. Gerechtfertigt wird der Preis durch ständige Verbesserungen, auch das Thema Sicherheit wird groß geschrieben.

So nutzt die Version 2.8.5 von iOutBank zum Beispiel einige neue Sicherheitsfeatures, die nur mit iOS 4 verfügbar sind. Wenn man die Code-Sperre des Geräts aktiviert hat, greift nun ein hardwarebasierter iOS-Dateizugriffsschutz, welcher einen erhöhten Schutz der eigenen Daten bei Verlust oder Diebstahl bietet.

Das bringt und allerdings zu einer anderen Frage: Welches iOS nutzt ihr? Gerade für die Entwickler ist es nie leicht, es allen Nutzern recht zu machen, verschiedene Betriebssysteme bedeuten deutlich mehr Aufwand – schließlich sollen die Apps überall gut funktionieren. Bei vielen Programmen ist man deshalb auf iOS 4 angewiesen, das ja sowieso einige Vorteile bietet.

[poll id=“19″]

Weiterlesen

Schwere Sicherheitslücken in iOS-Banking-Apps

Heise berichtet auf der eigenen Webseite und im am Montag erscheinenden Magazin über erhebliche Sicherheitslücken in Banking-Apps für das iPhone und iPad.

Eigentlich wissen wir gar nicht so genau, was uns momentan mehr schockiert: Die Tatsache, dass Heise in den beliebtesten Banking-Apps iControl, iOutBanking und S-Banking erhebliche Sicherheitsprobleme gefunden hat, oder, dass iOutBank trotzdem einen TÜV-Siegel bekommen hat.

Wie auch wir leicht feststellen können, verhindern alle drei Applikationen unbefugten Zugriff zunächst durch einen Passwortschutz. Heise hat allerdings herausgefunden, dass iOutBank und iControl beim Start unverschlüsselte Daten im Dateisystem hinterlegen, die erst beim Beenden wieder verschlüsselt werden.

In manchen Fällen sei es sogar vorgekommen, das komplette TAN-Listen, die man allerdings nicht unbedingt in der App speichern sollte, plötzlich zugänglich und beim Synchronisieren durch iTunes sogar unverschlüsselt auf den heimischen Rechner übertragen wurden.

Ein anderes Problem trat in S-Banking auf, hier wurden vertrauliche Daten, die in Richtung Postbank-Server unterwegs waren, auch für andere Teilnehmer im Netzwerk sichtbar.

Immerhin: Tobias Stöger, der fleißige Entwickler von iOutBank, hat bereits reagiert und angekündigt, dass Sicherheitsleck in seiner App so schnell wie möglich zu stopfen.

Weiterlesen

TÜV-Siegel: iOutBank schreibt Datenschutz groß

Immer wieder gibt es in der heutigen Zeit Probleme mit dem Datenschutz. Bei iOutBank  (iPhone/iPad)wird die Sicherheit der privaten Daten groß geschrieben.

„Wir können immer wieder betonen, dass wir Sicherheit groß schreiben. Aber nun haben wir von einer unabhängigen und renommierten Institution den Beleg dafür“, begründet Tobias Stöger, Gründer und Geschäftsführer der stoeger it GmbH, seine Motivation für die Zertifizierung.

Für eine sichere Datenverbindung zwischen App und Bank sorgt das etablierte HBCI- bzw. FinTS-Verfahren, das auch beim klassischen Online-Banking am Rechner zum Einsatz kommt. Der TÜV SÜD nahm in einer mehrwöchigen Testphase die Funktionen, die Datensicherheit sowie den Daten­schutz der iOutBank-App, als auch innerhalb des Unter nehmens unter die Lupe.

Es wurde untersucht, ob im Umgang mit personenbezogenen Daten die Regeln des Bundesdatenschutzgesetzes, des Telemediengesetzes sowie die Empfehlungen des Bundesamts für Sicherheit in der Informa­tionstechnik (BSI) zum IT-Grundschutz umgesetzt wurden. Sämtliche Funktionen, die dem Nutzer versprochen werden, überprüfte der TÜV SÜD. Die Zertifizierung geht weit über die eigentliche App hinaus.

„Hausinterne Prozesse rund um iOutBank wurden begutachtet und müssen ordnungsgemäß dokumentiert sein als auch eingehalten werden“, sagt Stöger. Als Beispiele nennt er eingehaltene Sicherheitsstandards, die Dokumentation von Änderungen am Programmcode oder Vertreterregelungen falls mal ein Mitarbeiter ausfällt.

Weiterlesen

Copyright © 2019 appgefahren.de