Schwachstellen von webbasierten Android-Apps

Bachelor Studiengang IT Security

Alexander Zhanial

Betreuer: FH(Prof) DI Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage

In der modernen Welt wird fast alles über das Smartphone erledigt - es werden Bestellungen bei Online-Shops getätigt, mit Freunden kommuniziert, Banküberweisungen durchgeführt, sogar die Amtswege bleiben einem teilweise erspart. Für all diese Tätigkeiten stehen passende Apps zum Download bereit, die mit einer einzigen Touch-Geste auf dem Smartphone installiert werden können. Insgesamt sind es mittlerweile nahezu 3 Millionen Apps, die im Google Play Store heruntergeladen werden können und es werden Tag für Tag mehr. Die Gründe dafür sind die geringen Hürden, die Entwickler*innen in Kauf nehmen müssen, um Apps zu veröffentlichen und die verschiedensten Technologien, die verfügbar sind, um Apps in Rekordzeit zu entwickeln. Allerdings wird bei der Entwicklung allzu oft auf die Sicherheit vergessen oder Entwickler*innen fehlt es an nötigem Know-how, um diese zu vermeiden. Deshalb gewinnen vor allem technische Sicherheitsanalysen - sogenannte Penetration Tests - zunehmend an Bedeutung, bei der eine App umfassend auf Schwachstellen überprüft wird, um diese anschließend bestmöglich abzusichern.

Ziel

Das Ziel der Arbeit ist, festzustellen, welche Schwachstellen Android-Apps betreffen können. Dabei wird der Fokus auf eine bestimmte Art von App gerichtet – der Hybrid-App. Hybrid-Apps sind eigentlich Webseiten, welche mittels einer bestimmten Technologie (sogenannten Hybrid-Frameworks) in vollwertige Apps “umgewandelt” werden. Dadurch können diese aus dem Google Play Store heruntergeladen und auf dem Gerät installiert werden. Zudem soll dabei evaluiert werden, wie sich diverse Schwachstellen explizit auf Hybrid-Apps auswirken und es sollen Angriffe präsentiert sowie deren theoretischen Ablauf modelliert und mögliche Einfallstore aufgezeigt werden.

Ergebnis

Das Ergebnis stellt einen umfassenden Überblick über Schwachstellen und mögliche Sicherheitsrisiken von Android-Apps dar. Zudem werden diese dahingehend analysiert, wie sie sich differenziert auf Hybrid-Apps auswirken und mögliche Angriffsszenarien werden dafür modelliert. Zur Nachvollziehbarkeit der technischen Hintergründe der Schwachstellen, beinhaltet das Ergebnis der Arbeit auch eine Erläuterung des Aufbaus, der Funktionen und der Sicherheitsaspekte des Android Betriebssystems und von Hybrid-Apps.