Mobilfunk-Netzbetreiber

Service-App-Test 2019: So testen wir

2.10.2019 von Lennart Holtkemper und Josefine Milosevic

ca. 2:00 Min
Vergleich
VG Wort Pixel
  1. Service-App-Test 2019: Telekom, A1, Swisscom & Co. im Test
  2. Service-App-Test 2019: Mein Magenta (D)
  3. Service-App-Test 2019: Mein O2 (D)
  4. Service-App-Test 2019: Mein Vodafone (D)
  5. Service-App-Test 2019: Österreich
  6. Service-App-Test 2019: Schweiz
  7. Service-App-Test 2019: So testen wir
  8. Service-App-Test 2019: Fazit

Während die Funktionalität und die Handhabung der Service-Apps bei connect getestet wurden, überprüfte P3 als unser Partner deren Sicherheit.

P3 hat alle Anwendungen in folgenden vier Sicherheitskategorien geprüft: Datenschutz, Verbindungssicherheit und Verschlüsselung, Identitätsdiebstahl sowie Sicherheit des Quellcodes. 

Die Angriffsszenarien orientierten sich dabei an den Richtlinien zur sicheren Programmierung von Apps des Bundesamts für Sicherheit in der Informationstechnik und des Open Web Application Security Projects (OWASP). 

Viele Tests wurden von P3 selbst entwickelt, und das Testing pro App nahm drei bis vier Tage in Anspruch. Sämtliche Ergebnisse wurden zur Kontrolle von zwei Ingenieuren verifiziert. Aus Sicherheitsgründen haben wir jedoch auf eine genaue Beschreibung der einzelnen Schwachstellen verzichtet, um etwaigen kriminellen Handlungen vorzubeugen. 

Alle Betreiber wurden vor der Veröffentlichung dieses Beitrags über die Sicherheitsmängel in ihren Apps informiert. Kritische Lücken haben die Betreiber laut eigener Aussage umgehend beseitig. 

Wie gut der Datenschutz von den App-Herstellern umgesetzt wurde, war bei unserem Test der wichtigste Aspekt und wurde demnach auch mit den meisten Punkten gewichtet. 

Geprüft wurde in dieser Kategorie, ob die Apps personenbezogene Daten wie Login- und Benutzerinformationen ausreichend geschützt im lokalen Speicher der App und im externen Smartphonespeicher ablegen. 

Das schließt auch Identifikationsdaten zwischen Server und App mit ein. Denn wenn die App diese Identifikationsdaten nicht löscht, könnte man den Nutzer anhand dieser Informationen eindeutig ermitteln und auslesen, wann und wie oft er sich eingeloggt hat.

Verschlüsselung ist essenziell

Wie gut der Datenfluss zwischen App und Server abgesichert ist, war ebenfalls ein Testkriterium. Dabei wurde überprüft, ob die Anwendung mit aktuellen Verschlüsselungsmethoden arbeitet und ob sie den gesamten Datenverkehr ausschließlich gesichert überträgt.

Punktabzüge gab es aber auch dann, wenn eine App unnötigerweise Informationen an den Server sendet. Eine der geprüften Apps schickte zum Beispiel regelmäßig den Benutzernamen und das Passwort an den Server. Die Daten waren zwar verschlüsselt, aber für Experten ergäbe sich hier ein Angriffsziel. 

Zudem wurde im Test der korrekte Umgang der App mit SSL-Zertifikaten als digitalem Identitätsnachweis untersucht. In der Kategorie „Identitätsdiebstahl“ hat P3 während des Testings versucht, die eigenen Rechte innerhalb der App auszuweiten. 

Wenn es Angreifern in diesem Szenario gelänge, bestimmte Autorisierungsmechanismen der Apps zu umgehen, könnten sie auf Daten anderer Anwender zugreifen. Theoretisch wären dann alle Kunden betroffen, die die entsprechende App verwenden. 

Kritisch ist es auch, wenn eine Anwendung keinen Schutz gegen Klonung besitzt. Angreifer könnten dann eine exakte Kopie der Applikation erstellen, alle persönlichen Daten entnehmen und sich als der Nutzer ausweisen. Der Quellcode kann ebenfalls Einfallstor für Angriffe sein. 

Darum wurde hier kontrolliert, ob die Komponenten von Drittanbietern sicher implementiert wurden und die App wichtige Dateien wie Benutzernamen und Passwörter verschlüsselt ablegt. Lediglich bei einer App tat sich hierbei eine kritische Sicherheitslücke auf.

Mehr lesen

Bestenliste

Top 10: Die besten Android-Smartphones 2020

Top 10 Smartphones - Bestenliste

Die besten Smartphones bis 300 Euro

Bestenliste

Top 10 - Die zehn besten Tablets im Test

Weiter zur Startseite  

Mehr zum Thema

Mobilfunk-Netzbetreiber Service-Apps

Mobilfunk-Netzbetreiber

Service-App-Test 2018: Telekom, Vodafone und O2 im Test

Per App lässt sich der Smartphone-Vertrag verwalten. Wie gut und sicher die Service-Apps von Telekom, Vodafone und Telefónica O2 sind, klärt der Test.

Städtewertung: Das beste Handy-Netz in Frankfurt am Main

Städte-Wertung

Mobilfunk-Netztest 2021: Das beste Handy-Netz in Frankfurt…

In der Finanz- und Wirtschaftsmetropole ist eine überdurchschnittlich zahlungskräftige Klientel unterwegs, was den Ausbau hier besonders attraktiv…

Städtewertung: Das beste Handy-Netz in Hamburg

Städte-Wertung

Mobilfunk-Netztest 2021: Das beste Handy-Netz in Hamburg

Am nördlichen Tor zur Welt zeigt sich das von der bundesweiten Rangfolge vertraute Bild: Die Telekom hat die Nase vorn, Vodafone und Telefónica/O2…

Städtewertung: Das beste Handy-Netz in Köln

Städte-Wertung

Mobilfunk-Netztest 2021: Das beste Handy-Netz in Köln

Auch in der Domstadt erzielt die Telekom den ersten Platz. Doch Vodafone und Telefónica sind hier exakt gleich stark. Sehr gute Ergebnisse erzielen…

Städtewertung: Das beste Handy-Netz in München

Städte-Wertung

Mobilfunk-Netztest 2021: Das beste Handy-Netz in München

In der bayrischen Landeshauptstadt und somit an seinem Firmensitz erzielt Telefónica/O2 ein starkes Ergebnis. Allerdings macht die Telekom dem…