Der (Un)Sinn von App Shielding

NEW BUSINESS Innovations - NR. 08, OKTOBER 2019
"Als App-Anbieter trägt man eine große Verantwortung mit immer komplexeren und sich ändernden technischen Herausforderungen", sagt Dr. Gunther Bergauer. © Biljana Jovanovic/Pixabay

Gastautor Dr. Gunther Bergauer erklärt, was man in Sachen App-Security von sogenannten App-Shielding-Software-Developer-Kits erwarten kann und wieso man einem „Rundum-sorglos“-Versprechen ...

... nicht blind vertrauen sollte.

Selbst große Zahlungsanbieter, deren Geschäftsfokus auf Sicherheitsvertrauen liegt und deren Interesse demzufolge im rigorosen Durchsetzen von „state of the art“ Sicherheitsstandards fokussiert sein sollte, landen wegen Security-Vorfällen in den Schlagzeilen. Industriespionage, Denial of Service, Phishing und ähnliche Attacken sind allgegenwärtig. Cyberkriminalität nimmt in erschreckendem Maße zu. Es wirkt, als hätten wir uns bereits daran gewöhnt, und entsprechende Meldungen schockieren uns nicht mehr.

EU reagiert auf Trend
Fast jeder unter 30-Jährige nutzt Onlinebanking, Social Media oder Streamingdienste, die eine eindeutige Identifikation erfordern. Diesen Trend hat auch die EU-Kommission erkannt und schreibt z. B. bei Finanzanwendungen die 2-Faktor-Authentifizierung sowie die Umsetzung von technischen Security-Maßnahmen vor (siehe PSD2 – Stichwort: Open Banking). Diese Maßnahmen werden von der Industrie als RASP (runtime application self-protection) oder App Shielding bezeichnet. Im Grunde soll verhindert werden, dass eine App von anderen Apps am Handy beeinflusst werden kann und z. B. die Workflows geändert, der sichere Speicher ausgelesen oder der App eine sichere Laufzeitumgebung vorgetäuscht werden kann (z. B. für „Man in the Middle“-Angriffe).

Mythos Rundum-Sicherheit
Welche Maßnahmen treffe ich nun als Projektverantwortlicher für eine App, die zur sicheren Authentifizierung meiner Kunden verwendet werden soll?
Es gibt am Markt einige Anbieter, die Rundum-sorglos-App-Shielding-SDKs (Software Developer Kits) mit dem Versprechen „Benutze unser SDK und sei sicher!“ vermarkten. Aber was hält das Versprechen? Im Grunde ist der Ansatz aller dieser SDKs sinnvoll, das genannte Versprechen ist aber ohne eigenes Zutun kaum haltbar. Smartphone-Apps befinden sich softwaretechnisch in einem Container, also einer Box, die von den restlichen Apps und Betriebssystemprozessen abgeschirmt ist. Um aus der Box nach „außen“ zu kommunizieren stellt das Betriebssystem entsprechende Schnittstellen zur Verfügung. Als Designprinzip kommt sowohl bei Android als auch bei iOS die Prämisse zum Einsatz, dass eine App gar nicht aus ihrem Speicherbereich ausbrechen kann und auch nichts über andere Apps auf dem Gerät erfährt, außer es gibt dafür zur Verfügung gestellte Schnittstellen. Und da liegt das Problem. App Shielding versucht, unter anderem folgende Punkte in den Griff zu bekommen:
• Debugger Detection
• Root Detection
• Emulator Detection
• Overlay Detection
Diese sind aber per se nur heuristisch erkennbar, indem über Muster, Signaturen oder Verhaltensweisen der Schnittstellen versucht wird, Angriffe zu erkennen.

App Shielding trotzdem ein Must-have
Andere Shielding-Methoden wie Screenshot Prevention, Code Obfuscation, unsecure OS Versions Detection, Custom Secure Keyboards, enforced Device Locking oder Secure Memory Access sind entweder recht einfach durch entsprechende, von der Plattform zur Verfügung gestellte Möglichkeiten zu aktivieren oder im Rahmen der Programmierung als Paradigmen von den Entwicklern anzuwenden. Hier kann ein SDK Arbeit abnehmen (z. B. beim Custom Keyboard), schützt aber alleine nicht – dazu ist das Thema zu komplex. Es braucht geschultes Personal und eine im Prozess verankerte „Security over the Software Development Lifecycle“-Herangehensweise, indem die Sicherheitsprinzipien von der Spezifikation über die Implementierung bis zur Qualitätssicherung und zur Verteilung durchgezogen und verifiziert werden.
Als Fazit bleibt: App Shielding reduziert Userfehler und Risiken, schafft aber keine 100%ige Sicherheit. Trotzdem ist es kein „Nice-to-have“, sondern ein „Must-have“ in der vernetzten Welt. Als App-Anbieter trägt man eine große Verantwortung mit immer komplexeren und sich ändernden technischen Herausforderungen. Deshalb gilt es, nicht blind auf ein SDK zur Lösung einzelner Security Issues zu vertrauen, sondern die gesamte App von entsprechend geschulten Experten evaluieren oder von einem sicherheitskompetenten Auftragsentwickler entwickeln zu lassen. (GB)

ÜBER DEN AUTOR
Dr. Gunther Bergauer
Dr. Gunter Bergauer arbeitet als Business Consultant Fintech beim Software-Entwickler World-Direct eBusiness solutions GmbH, einer 100-prozentigen A1-Tochter mit Standorten in Sistrans (Tirol), Wien, Linz und Hitzendorf (Steiermark). Dort berät der 40-Jährige Großbanken und Payment-Dienstleister aus der DACH-Region mit Fokus auf Secure Applications.
www.world-direct.at