Kombinierter Schutz für mehr Sicherheit bei mobilen Anwendungen
Statistiken zur mobilen Sicherheit weisen nur geringe Verbesserungen auf, seit das erste Smartphone auf den Markt gekommen ist. Arxan, einem Marktführer auf dem Gebiet des mobilen Softwareschutzes, zufolge enthalten 90 % der Anwendungen kritische Sicherheitslücken, und 46 % der Unternehmen, die Apps entwickeln erwarten, dass ihre Produkte innerhalb von sechs Monaten gehackt werden können. Auch wenn es Schutzmaßnahmen auf dem Markt gibt, so bieten sie keinen ausreichenden Schutz, sind teuer oder umständlich zu nutzen. "Für Entwickler ist es nahezu unmöglich zu bestimmen, welchen Wert sie für ihr Geld erhalten, oder die Vorteile und Risiken einer Investition in Schutzmaßnahmen zu bewerten", sagt Bjorn De Sutter, Koordinator von ASPIRE und Professor am Computersystemlabor der Universität Gent. Da bekannt ist, dass den meisten Unternehmen nur ein begrenztes Budget für Investitionen in die Sicherheit ihrer Anwendungen zur Verfügung steht, befindet sich der Markt offenbar in einem Teufelskreis. An diesem Punkt kommt die Technologie von ASPIRE ins Spiel: "Wir haben versucht, den Stand der Technik voranzubringen, indem wir konkrete Verbesserungen präsentierten", erläutert Prof. De Sutter. "Wir haben beispielsweise Anti-Debugging-Techniken entwickelt, die wirklich schwer zu umgehen sind. Und wir haben die Grenzen zur Kombination verschiedener Schutzmaßnahmen verschoben, indem wir eine breite Palette von Eigenschaften und Problemen (wie der Einsatz auf Quell- oder binärer Ebene) abdeckten und gleichzeitig die Anforderungen der Industrie erfüllten, wie beispielsweise Kooperation mit Standard-Code-Compilern, bei denen die Codeerzeugung nicht überwacht werden kann." Es gelang dem Konsortium, die Realisierbarkeit dieser akademischen Lösungen anhand von komplexen, realen Anwendungsfällen zu beweisen, und man entwickelte ein System zur Entscheidungsunterstützung, das über eine eingebaute Bewertungsmethodik für die Stärke des zugrunde liegenden Softwareschutzes verfügt. "Es ist, soweit wir wissen, das erste System seiner Art, das Nutzer dabei unterstützt, für ihre Software, Assets und Sicherheitsanforderungen eine gute Kombination von Schutzmöglichkeiten auszuwählen", erklärt Prof. De Sutter. Stärken kombinieren Eine der wesentlichen Stärken von ASPIRE ist die Kombination verschiedener Schutztechniken. Es geht natürlich darum, es Hackern schwer zu machen, aber auch darum, den Anforderungen der multiplen Assets, die in einer einzigen Anwendung vorhanden sind, Rechnung zu tragen. Nicht zuletzt ist das System mit diesem Ansatz in der Lage, auch die Schutztechniken selbst zu schützen. Prof. De Sutter weist darauf hin, dass eine derartige Kombination der Stärken mögliche Angriffe so zeitraubend und aufwändig machen, dass sie sich nicht mehr lohnen. Technisch gesehen, verknüpft ASPIRE fünf Schutzarten: Verbergen von Datenwerten, Codetarnung, Techniken zur Verhinderung missbräuchlicher Eingriffe, Integritätsüberprüfung und Erneuerungstechniken. "Durch die Erneuerungstechniken können wir verschiedene Versionen desselben Programms streuen und die Programme häufig aktualisieren. Somit können Angreifer, die einen erfolgreichen Angriffsweg entdeckt haben, nur bei eingeschränkten Gelegenheiten und auch nur eine begrenzte Anzahl an Softwareinstanzen nutzen", erklärt Prof. De Sutter. Das Ziel ist, einen Angriff so wenig lohnend wie möglich zu machen, in der Hoffnung, dass Angreifer die Angriffe dann ganz aufgeben. Um die Zuverlässigkeit des Systems zu überprüfen, haben Prof. De Sutter und sein Team einen öffentlichen Wettbewerb eröffnet, bei dem Hacker sieben Programme zur Verfügung gestellt bekommen, die sie besiegen müssen. Erfolgreiche Angreifer erhalten eine Belohnung, wenn sie dem Konsortium ihre Angriffsmethode erläutern. Ausblick Die Anwendungsfälle, die in dessen Verlauf aufgetreten sind, haben dem Konsortium wertvolle Erkenntnisse geliefert, die es in naher Zukunft nutzen möchte. Es gab einige positive Ergebnisse, insbesondere dass das ASPIRE-System effektiv für komplexe Bibliotheken, die in Android-Apps eingebettet sind, eingesetzt werden kann, und dass das Konsortium zudem noch Spielraum zur Verbesserung der Wirksamkeit einiger Schutzmaßnahmen identifiziert hat. Die meisten Codes, die im Rahmen des Projekts entwickelt wurden, werden nach Projektabschluss im Oktober 2016 öffentlich zur Verfügung gestellt, so dass die Forscher bestehende Schutzmaßnahmen einsetzen, erforschen und erweitern können. "Die Industriepartner von ASPIRE arbeiten gerade an ihren Verwertungsplänen, während meine Gruppe weiterhin auf diesen Tools zu internen Forschungszwecken und für die Zusammenarbeit mit der Industrie aufbauen wird", meint Prof. De Sutter abschließend.
Schlüsselbegriffe
ASPIRE, Smartphone, mobile Sicherheit, mobile Anwendungen, IT-Sicherheit
