Service-App-Test 2020: So testen wir

Während die Funktionalität und die Handhabung der Service-Apps bei connect getestet wurden, überprüfte unser Partner umlaut deren Sicherheit.

umlaut hat alle Anwendungen in folgenden vier Sicherheitskatego­rien geprüft: Datenschutz, Verbin­dungssicherheit und Verschlüsselung, Identitätsdiebstahl sowie Sicherheit des Quellcodes. Die Angriffsszena­rien orientierten sich an den Richt­linien zur sicheren Programmierung von Apps des Bundesamts für Sicher­heit in der Informationstechnik und des Open Web Application Security Projects (OWASP).

Viele Tests wurden von umlaut selbst entwickelt, das Testing pro App nahm drei bis vier Tagen in Anspruch. Alle Ergebnisse wurden zur Kon­trolle von zwei Ingenieuren verifi­ziert. Aus Sicherheitsgründen haben wir jedoch auf die genaue Beschrei­bung der einzelnen Schwachstellen verzichtet, um etwaigen kriminellen Handlungen vorzubeugen.

Wie gut die App­-Hersteller den Datenschutz umgesetzt haben, war bei unserem Test der wichtigste Aspekt und wurde demnach auch mit den meisten Punkten gewichtet. Geprüft haben wir in dieser Katego­rie, ob die Apps personenbezogene Daten wie Login­- und Benutzerin­formationen ausreichend geschützt im lokalen Speicher der App und im externen Smartphonespeicher ab­legen.

Das schließt auch die Identifikationsdaten zwischen Ser­ver und App mit ein. Denn wenn die App diese Identifikationsdaten nicht löscht, könnte man den Nutzer anhand dieser Informationen eindeutig ermitteln und auslesen, wann und wie oft er sich eingeloggt hat.

Verschlüsselung ist essenziell

Wie gut der Datenfluss zwischen App und Server abgesichert ist, war ebenfalls ein Testkriterium. Dabei wurde überprüft, ob die Anwendung mit aktuellen Verschlüsselungs­methoden arbeitet und ob sie den gesamten Datenverkehr ausschließ­lich gesichert überträgt.

Punktabzug gab es aber auch dann, wenn eine App unnötigerweise Informationen an den Server sendet. Zudem wurde im Test der korrekte Umgang der App mit SSL­Zertifikaten als digitalem Identitätsnachweis untersucht. In der Kategorie „Identitätsdieb­stahl“ hat umlaut während des Testings versucht, die eigenen Rechte in­nerhalb der App auszuweiten.

Wenn es Angreifern in diesem Szenario gelänge, bestimmte Autorisierungsmechanismen der Apps zu umgehen, könnten sie auf Daten anderer An­wender zugreifen. Theoretisch wären dann alle Kunden betroffen, die die entsprechende App verwenden.

Kritisch ist es auch, wenn eine Anwendung keinen Schutz gegen Klonung besitzt. Angreifer könnten dann eine exakte Kopie der Appli­kation erstellen, alle persönlichen Daten entnehmen und sich als Nut­zer ausweisen. Der Quellcode kann ebenfalls Einfallstor für Angriffe sein.

Darum wurde hier kontrolliert, ob die Kom­ponenten von Drittanbietern sicher implementiert wurden und die App wichtige Dateien verschleiert ablegt. Alle getesteten Apps zeigten hierbei Verbesserungspotenzial. Das Si­cherheitsniveau aller Apps hat sich gegenüber dem Vorjahr merklich verbessert.