Jonathan Stutz - stock.adobe.com
So verhindern Sie Angriffe auf mobile Anwendungen
Mobile Anwendungen werden zunehmend zu einem attraktiven Ziel für Angreifer. Firmen sollten daher die Risiken mobiler Apps kennen und diese mit geeigneten Maßnahmen reduzieren.
Da der Einsatz mobiler Geräte in Unternehmen inzwischen zum Alltag gehört, müssen Firmen auf alle Arten von mobilen Bedrohungsvektoren vorbereitet sein. Dazu gehören auch Angriffe auf mobile Anwendungen.
Seit der COVID-19-Pandemie und dem Trend zum ortsunabhängigen Arbeiten im Home-Office sind mobile Geräte zu einem der wichtigsten Kanäle für Mitarbeiter bei der Einwahl ins Unternehmensnetzwerk geworden. Während dieser Wandel den Arbeitnehmern Bequemlichkeit und Flexibilität bietet, bringt die Abhängigkeit von mobilen Geräten neue Sicherheitsrisiken mit sich. Da Ransomware, Malware und andere Arten von Angriffen sich häufig gezielt auf mobile Geräte richten, sollten Unternehmen ihre Daten angemessen schützen.
Angriffe auf mobile Anwendungen bedrohen Unternehmen
Ein Angreifer braucht nur ein kompromittiertes mobiles Gerät, um auf das Netzwerk eines Unternehmens zuzugreifen. Unternehmenseigene und BYOD-Mobilgeräte (Bring Your Own Device) sind das ultimative Ziel für Land-and-Expand-Angriffe, bei denen ein Angriff auf ein Mobilgerät die Grundlage für einen weiteren Angriff auf ein Backend-System oder eine Cloud-Anwendung bildet.
Ein typischer Unternehmensanwender nutzt auf seinem mobilen Gerät möglicherweise geschäftliche E-Mails, eine UC-Anwendung (Unified Communications) wie Slack oder Teams sowie einen Salesforce- oder einen anderen CRM-Client (Customer Relationship Management). Wenn Angreifer ein derartiges Gerät kompromittieren, haben sie vollen Zugriff auf die Netzwerkressourcen des Unternehmens – als ob sie autorisierte Benutzer des Geräts wären.
Da viele Mitarbeiter während der Pandemie persönliche und unternehmenseigene Mobilgeräte nutzten, um ihre Arbeit zu erledigen, hat sich die Angriffsfläche für mobile Geräte in den letzten Jahren vergrößert. Ein Bericht des Anbieters für mobile Sicherheit Zimperium aus dem Jahr 2022 ergab, dass im Jahr 2021 im weltweiten Durchschnitt 23 Prozent der mobilen Geräte mit bösartigen Anwendungen infiziert wurden. Das Unternehmen stellte außerdem fest, dass 75 Prozent der Phishing-Seiten in diesem Jahr speziell auf mobile Geräte abzielten.
Darüber hinaus vergrößert sich die Angriffsfläche mit jeder neuen Anwendung, die ein Benutzer auf einem mobilen Gerät installiert. Bedrohungen für Anwendungen wie offengelegte APIs und falsch konfigurierter Code machen Kundendaten angreifbar. Veraltete mobile Anwendungen tragen nur zu diesen Sicherheitslücken bei. Für eine bessere Kontrolle der Anwendungen können Unternehmen auf Enterprise Mobility Management (EMM) und andere Tools für die Verwaltung von Clients zurückgreifen.
Diese Tools ermöglichen es der IT-Abteilung, Richtlinien zu erstellen und zu verwalten, beispielsweise die Automatisierung von Updates für mobile Betriebssysteme und Apps, um die mobile Sicherheit zu verbessern.
Angreifer nehmen mobile Geräte oft auch ins Visier, um weitere Informationen abzugreifen. Bösewichte können das Mikrofon und die Kamera eines mobilen Geräts nutzen, um Unternehmen auszuspionieren und Unternehmensgeheimnisse wie Forschungs- und Entwicklungspläne oder Finanzdaten zu erfahren. Kompromittierte Mobilgeräte können Verkaufsgespräche oder Besprechungen über das nächste große Produkt eines Unternehmens belauschen.
Diese Bedrohungsvektoren für mobile Geräte sollte die IT-Abteilung kennen
Es gibt viele Möglichkeiten, wie Hacker mobile Geräte über mobile Anwendungen kompromittieren. Firmen können die schädlichen Folgen von Angriffen auf mobile Anwendungen verhindern oder mindern, wenn sie die folgenden Bedrohungsvektoren im Auge behalten.
Mobile Malware
Malware ist bösartige Software, die Anmeldedaten stehlen und die Zwei-Faktor-Authentifizierung (2FA) umgehen kann. Viren, Würmer und Spyware sind Beispiele für Malware, die auf mobile Geräte abzielt. Der Kampf gegen mobile Malware beginnt mit Antiviren-Software auf den mobilen Geräten. Die IT-Abteilung muss zudem den Fernzugriff auf das Unternehmensnetzwerk über mobile Geräte streng kontrollieren.
Malware-Angriffe entwickeln sich mit Unterstützung von staatlich geförderten und kriminellen Hackerorganisationen. Einige dieser Hackergruppen verfügen über die technischen und personellen Ressourcen einer großen Softwareentwicklungs-Firma.
Ein neuer und besorgniserregender Trend bei Malware-Angriffen auf mobile Banking-Apps sind beispielsweise die Dropper-Apps, die Cyberkriminelle zu legitimen Apps im Google Play Store hinzugefügt haben. Da hybride Arbeitsformen und BYOD-Richtlinien die Grenzen zwischen persönlichen und Unternehmensgeräten verwischen, stellt dies für viele Unternehmen eine erhebliche Bedrohung dar.
Da DevOps- und DevSecOps-Praktiken immer beliebter werden, müssen Entwickler mobiler Apps zunehmend zu mobilem DevSecOps übergehen, um sichere mobile Apps zu entwickeln. Viele Abwehrtechniken werden weiter an Bedeutung gewinnen, zum Beispiel Codeverschleierung, um den Code oder die Logik von Apps schwer verständlich zu machen, oder die Abschirmung von Anwendungen zum Schutz vor dynamischen Angriffen, bösartigem Debugging und Manipulationen.
Mobile Ransomware
Während IT-Teams Daten durch Verschleierung schützen können, sind Hacker in der Lage diese Taktik auch für Ransomware-Angriffe nutzen. Ein Ransomware-Angriff verschlüsselt ein kompromittiertes Mobilgerät und sperrt dessen Benutzer aus. Ransomware-Angreifer gehen bei mobilen Geräten in der Regel nach demselben Schema vor wie bei PCs: Sie fordern Lösegeld, wenn Nutzer den Zugriff auf ihr Gerät und ihre Daten wiedererlangen wollen.
Laut dem Data Breach Investigations Report 2022 von Verizon (PDF) war Ransomware im Jahr 2021 Teil von fast 25 Prozent aller Datenschutzverletzungen, ein Anstieg von fast 13 Prozent im Vergleich zum Vorjahr – und mobile Geräte sind gegen solche Angriffe alles andere als immun.
Die Abwehr von Ransomware beginnt damit, dass Unternehmensgeräte daran gehindert werden, Apps aus anderen Quellen als dem unternehmenseigenen App Store, dem Apple App Store oder Google Play herunterzuladen. Einige weitere wichtige Schritte, um mobile Ransomware zu verhindern, sind:
- Erstellen und Durchsetzen einer BYOD-Richtlinie mit einem begleitenden Schulungsprogramm, das die Sicherheit von eigenen Geräten der Mitarbeiter regelt, die am BYOD-Programm des Unternehmens teilnehmen.
- Erstellen von Richtlinien in der EMM-Plattform des Unternehmens, die alle registrierten BYOD- und Unternehmensgeräte dazu auffordern, automatisch Sicherheits-Patches und Updates herunterzuladen.
- Der Schutz vor mobiler Ransomware sollte Teil der unternehmensweiten Awareness-Schulungen rund um Themen der Cybersicherheit werden.
Fehlerhafter Code und löchrige mobile Apps
Löchrige mobile Apps bilden die Grundlage für einen Angriff auf mobile Geräte. Wie der Name schon sagt, handelt es sich bei einer löchrigen App um eine Anwendung, aus der Unternehmensdaten heraussickern, wie Wasser aus einer kaputten Leitung. Schlechte Programmierpraktiken führen zu fehlerhaftem Code, der es der Öffentlichkeit und Angreifern ermöglichen kann, Anwendungsdaten wie Unternehmensinformationen und Passwörter einzusehen.
Sicherheitsmängel waren ein wichtiges Thema bei der Veröffentlichung der App für die Olympischen Spiele 2022 in Peking. Die App war für alle Teilnehmer obligatorisch und wies Schwachstellen auf, die es Angreifern ermöglichen konnten, persönliche Daten zu stehlen und sogar einige Kommunikationsstränge auszuspähen. Den Athleten und anderen Teilnehmern wurde geraten, während der Olympischen Spiele ein Wegwerfhandy zu benutzen, da die mobile Sicherheit bedroht war.
Eine ähnliche Bedrohung ergab sich im Januar 2021, als Slack einen Fehler in seiner Android-App entdeckte, der Benutzerdaten im Klartext auf den Geräten protokollierte. Zwar warnte Slack seine Nutzer, ihre Passwörter zu ändern und die Datenprotokolle der Anwendung zu löschen, doch stand Angreifern, die es auf Unternehmensdaten abgesehen hatten, der Zugang weit offen. Auch wenn der Fehler nicht zu schlagzeilenträchtigen Sicherheitsverletzungen geführt hat, zeigt er doch, dass beliebte mobile Unternehmensanwendungen einen potenziellen Angriffsvektor darstellen.
Um sich vor fehlerhaftem Code und undichten mobilen Anwendungen zu schützen, müssen Unternehmen ihre mobilen Entwickler in sicheren Codierungspraktiken schulen und Sicherheitstests für mobile Anwendungen als Teil einer DevOps-Methodik implementieren.
Angriffe auf die Softwarelieferkette
Eine Softwarelieferkette funktioniert ähnlich wie ein Fließband in einer Fabrik. Es ist ein Produktionszyklus, der Partner, Auftragnehmer und Drittanbieter zusammenbringt, um Software zu produzieren. Auch Komponenten von Open-Source-Software durchlaufen diese Lieferkette.
Über die Softwarelieferkette kann jedoch eine Cybersicherheitslücke in einem Unternehmen zu Schäden bei anderen Unternehmen führen. Die Verletzung der Software-Lieferkette von SolarWinds, die im Jahr 2020 entdeckt wurde, hat diese Gefahr auf berüchtigte Weise gezeigt.
Hacker verschafften sich Zugang zu den Netzwerken, Systemen und Daten einiger der Regierungs- und Unternehmenskunden des Anbieters, darunter das Pentagon und Cisco. Während die Zahl der betroffenen Kunden auf weniger als 100 im Jahr 2021 geschätzt wird, wurden nach Angaben von SolarWinds 18.000 bösartige Software-Updates heruntergeladen.
Ein Angreifer, der die Softwarelieferkette eines Anbieters mobiler Apps kompromittiert, kann Code in die App einfügen, der den Endbenutzer dazu auffordert, ein Update von einer bösartigen Website herunterzuladen. Eine Kompromittierung der Softwarelieferkette findet statt, bevor eine App in einen öffentlichen oder unternehmenseigenen App-Store gelangt.
Die Anbieter von Unternehmensanwendungen und -diensten werden zweifellos die Sicherheit ihrer Lieferkette erhöhen, um diese Angriffe zu verhindern.
Jailbreaking und Rooting von mobilen Geräten
Geräte mit iOS, die einen Jailbreak durchliefen, und gerootete Android-Geräte gefährden die Sicherheit des gesamten Geräts, da sie Hackern die Möglichkeit geben, Angriffe zur Ausweitung von Berechtigungen durchzuführen. Wenn sich Angreifer Zugang zu einem mobilen Betriebssystem verschaffen, können sie wahllos mobile Anwendungen angreifen.
Mit EMM-Tools wie Jamf Private Access kann die IT-Abteilung Sicherheitsrichtlinien festlegen, die verhindern, dass Jailbroken- oder Root-Geräte auf Unternehmensressourcen zugreifen.
Man-in-the-Middle-Angriffe
Mit der Verlagerung von Unternehmensanwendungen in die Cloud werden MitM-Angriffe (Man-in-the-Middle) immer wahrscheinlicher, bei denen ein Angreifer die zwischen zwei Geräten gesendeten Daten abfangen, löschen oder verändern kann. Auch wenn es andere Ursachen für MitM-Angriffe gibt, können mobile Anwendungen, die unverschlüsseltes HTTP verwenden, sensible Informationen übertragen, die Angreifer für ihre kriminellen Zwecke nutzen können.
Um MitM-Angriffe zu verhindern, sollten Unternehmen damit beginnen, ihre Entwicklungsteams in sicheren Codierungsstandards und Architekturen zu schulen. Die gleichen Standards müssen auch für die Anbieter in der Softwarelieferkette gelten.
Wie man mobile Anwendungen vor Sicherheitsbedrohungen schützt
Um die Sicherheit mobiler Benutzer und sensibler Unternehmensressourcen zu gewährleisten, muss die IT-Abteilung wissen, wie Angriffe auf mobile Anwendungen ablaufen können und sich proaktiv dagegen wehren. Da sich die Nutzung von BYOD- und Unternehmensgeräten in einem Unternehmen weiterentwickelt, sind auch die Sicherheitsstrategien für mobile Geräte anzupassen. Der Schlüssel zu effektiven Sicherheitsrichtlinien liegt in der Nutzung von Arbeitsbeziehungen, um bewährte Praktiken zwischen Desktop- und Mobilteams sowie den Endnutzern auszutauschen.