Service-App-Test 2019

Service-App-Test 2019: So haben wir getestet

7.11.2019 von Josefine Milosevic

ca. 1:40 Min
Vergleich
VG Wort Pixel
  1. Service-Apps der Mobilfunk-Discounter im Test
  2. Service-App-Test 2019: Mein Blau, Mein Otelo und Aldi Talk
  3. Service-App-Test 2019: Smartmobil.de Servicewelt, Yourfone Servicewelt, Congstar und 1&1 Control-Center
  4. Service-App-Test 2019: Mein Mobilcom-Debitel, Lidl Connect, Klarmobil.de und Tchibo
  5. Service-App-Test 2019: Fazit
  6. Service-App-Test 2019: So haben wir getestet

umlaut hat alle Anwendungen in folgenden vier Sicherheitskategorien geprüft: Datenschutz, Verbindungssicherheit und Verschlüsselung, Identitätsdiebstahl sowie Sicherheitdes Quellcodes. Die Angriffsszenarien orientierten sich an den Richtlinien zur sicheren Programmierung von Apps des Bundesamts für Sicherheit in der Informationstechnik und des Open Web Application Security Projects (OWASP).

Viele Tests wurden von umlaut selbst entwickelt, und das Testing pro App nahm drei bis vier Tagen in Anspruch. Alle Ergebnisse wurden zur Kontrolle von zwei Ingenieuren verifiziert. Aus Sicherheitsgründen haben wir jedoch auf eine genaue Beschreibung der einzelnen Schwachstellen verzichtet, um etwaigen kriminellen Handlungen vorzubeugen.

Wie gut die einzelnen App-Hersteller den Datenschutz umgesetzt haben, war bei unserem Test der wichtigste Aspekt und wurde demnach auch mit den meisten Punkten gewichtet. Geprüft haben wir in dieser Kategorie, ob die Apps personenbezogene Daten wie Login und Benutzerinformationen ausreichend geschützt im lokalen Speicher der App und im externen Smartphonespeicher ablegen. 

Das schließt auch die Identifikationsdaten zwischen Server und App mit ein. Denn wenn die App diese Identifikationsdaten nicht löscht, könnte man den Nutzer anhand dieser Informationen eindeutig ermitteln und auslesen, wann und wie oft er sich eingeloggt hat.

Verschlüsselung ist essenziell

Wie gut der Datenfluss zwischen App und Server abgesichert ist, war ebenfalls ein Testkriterium. Dabei wurde überprüft, ob die Anwendung mit aktuellen Verschlüsselungsmethoden arbeitet und ob sie den gesamten Datenverkehr ausschließlich gesichert überträgt. Punktabzug gab es aber auch dann, wenn eine App unnötigerweise Informationen an den Server sendet. 

Zudem wurde im Test der korrekte Umgang der App mit SSL-Zertifikaten als digitalem Identitätsnachweis untersucht. In der Kategorie „Identitätsdiebstahl“ hat umlaut während des Testings versucht, die eigenen Rechte innerhalb der App auszuweiten. Wenn es Angreifern in diesem Szenario gelänge, bestimmte Autorisierungsmechanismen der Apps zu umgehen, könnten sie auf Daten anderer Anwender zugreifen. Theoretisch wären dann alle Kunden betroffen, die die entsprechende App verwenden.

Kritisch ist es auch, wenn eine Anwendung keinen Schutz gegen Klonung besitzt. Angreifer könnten dann eine exakte Kopie der Applikation erstellen, alle persönlichen Daten entnehmen und sich als Nutzer ausweisen. 

Der Quellcode kann ebenfalls Einfallstor für Angriffe sein. Darum wurde hier kontrolliert, ob die Komponenten von Drittanbietern sicher implementiert wurden und die App wichtige Dateien wie Benutzernamen und Passwörter verschlüsselt ablegt. Alle getesteten Apps zeigten hierbei Verbesserungspotenzial.

Mehr lesen

Bestenliste

Top 10: Die besten Android-Smartphones 2020

Top 10 Smartphones - Bestenliste

Die besten Smartphones bis 300 Euro

Bestenliste

Top 10 - Die zehn besten Tablets im Test

Weiter zur Startseite  

Mehr zum Thema

In-App-Käufe deaktivieren

iOS & Android

In-App-Käufe deaktivieren - so geht's

Viele zunächst kostenlose Apps und Spiele werden durch In-App-Käufe im Nachhinein noch richtig teuer. So deaktivieren Sie die In-App-Käufe.

Whatsapp - Warnung vor Abofallen

Spam-Nachrichten

WhatsApp: Kettenbriefe erkennen und richtig reagieren

Manche Spam-Nachrichten machen auf WhatsApp immer wieder die Runde. Wir erklären, wie Sie Kettenbriefe erkennen und was Sie dagegen tun können.

Smartphone Sicherheit Privatsphäre

Studie

Android: Viele Apps prüfen installierte Anwendungen für…

Viele Android-Apps tracken, welche anderen Apps auf dem Smartphone installiert sind. Die Informationen werden oft für Werbung genutzt.

Google Play Store Abo-Richtlinien

Mehr Sicherheit im Play Store

Google Play Store: Neue Richtlinien schützen vor Abofallen

Google hat neue Richtlinien für den Play Store veröffentlicht. Nutzer sollen besser über App-Abos informiert und so vor Abofallen geschützt werden.

WhatsApp-Kettenbrief Aldi-Gutschein

WhatsApp-Kettenbrief

Aldi-Gewinnspiel und -Gutscheine bei WhatsApp sind Fakes

Aldi-Gutschein wegen Corona? Bei dieser WhatsApp-Nachricht handelt es sich um einen Kettenbrief. Das angebliche Gewinnspiel greift Nutzerdaten ab.