Sicherheitstest: Apps der Mobilfunk-Netzbetreiber
Apps der Netzbetreiber: Fazit und Testverfahren
- Service-App-Test 2021: Telekom, Drei, Swisscom und Co. im Test
- Deutschland: Mein Magenta, Mein O2 und Mein Vodafone im Test
- Österreich: Mein A1, Drei Kundenzone und Mein Magenta im Test
- Schweiz: My Swisscom und My Sunrise im Test
- Apps der Netzbetreiber: Fazit und Testverfahren
Fazit
Wer in der heutigen Zeit bestehen will, muss auch in Sachen Service omnipräsent sein: Das wissen die Netzbetreiber ganz genau und bieten ihrer Kundschaft den Kontakt nicht nur via Hotline, sondern bauen ihren digitalen Service immer weiter aus. So sind die funktionstüchtigen Service-Apps voll gespickt mit nützlichen Diensten, womit die Smartphone- Nutzer nicht nur stets den aktuellen Verbrauch im Blick haben, sondern auch ihre bestehenden Verträge selbstständig verwalten können.
Das liegt natürlich auch im Interesse der Netzbetreiber, denn was der Kunde in Eigenregie erledigen kann, läuft nicht bei der Hotline oder im Shop auf. Der von umlaut teils bemängelte Nachholbedarf bei den Sicherheitsstandards stellt in keinem Fall eine ernsthafte Gefahr dar. Doch die Netzbetreiber dürfen hier auf keinen Fall nachlässig werden, schließlich finden Kriminelle immer neue Wege, um sich Zugang zu Daten zu verschaffen. Deshalb legen connect und umlaut rechtzeitig den Finger in kleine Wunden, um größere zu verhindern.
So haben wir getestet
Während die Funktionalität und die Handhabung der Service-Apps bei connect getestet wurden, überprüfte unser Partner umlaut deren Sicherheit.
umlaut hat alle Anwendungen in folgenden vier Sicherheitskategorien geprüft: Datenschutz, Verbindungssicherheit und Verschlüsselung, Identitätsdiebstahl sowie Sicherheit des Quellcodes. Die Angriffsszenarien orientierten sich an den Richtlinien zur sicheren Programmierung von Apps des Bundesamts für Sicherheit in der Informationstechnik und des Open Web Application Security Projects (OWASP). Viele Tests wurden von unserem Partner umlaut selbst entwickelt, das Testing pro App nahm mehrere Tage in Anspruch.
Zudem hat umlaut sechs neue Tests über alle Kategorien verteilt hinzugefügt, was zu größeren Unterschieden bei den diesjährigen Security-Ergebnissen geführt hat als in den letzten Jahren. Alle Ergebnisse wurden zur Kontrolle von zwei Ingenieuren verifiziert. Aus Sicherheitsgründen haben wir jedoch auf die genaue Beschreibung der einzelnen Schwachstellen verzichtet, um etwaigen kriminellen Handlungen vorzubeugen.
Wie gut die App-Hersteller den Datenschutz umgesetzt haben, war bei unserem Test der wichtigste Aspekt und wurde demnach auch mit den meisten Punkten gewichtet. Geprüft haben wir in dieser Kategorie, ob die Apps personenbezogene Daten wie Login- und Benutzerinformationen ausreichend geschützt im lokalen Speicher der App und im externen Smartphonespeicher ablegen.
Das schließt auch die Identifikationsdaten zwischen Server und App mit ein. Denn wenn die App diese Identifikationsdaten nicht löscht, könnte man den Nutzer anhand dieser Informationen eindeutig ermitteln und auslesen, wann und wie oft er sich eingeloggt hat. Zusätzlich wurde geprüft, ob sensitive Daten per Screenshot festgehalten oder kopiert werden können und welche Berechtigungen die App erfordert.
Verschlüsselung ist essenziell
Wie gut der Datenfluss zwischen App und Server abgesichert ist, war ebenfalls ein Testkriterium. Dabei wurde überprüft, ob die Anwendung mit aktuellen Verschlüsselungsmethoden arbeitet und ob sie den gesamten Datenverkehr ausschließlich gesichert überträgt.
Punktabzug gab es aber auch dann, wenn eine App unnötigerweise Informationen an den Server sendet oder personenbezogene Daten nicht DSGVO-konform überträgt. Zudem wurde im Test der korrekte Umgang der App mit SSL-Zertifikaten als digitalem Identitätsnachweis untersucht.
In der Kategorie „Identitätsdiebstahl“ hat umlaut während des Testings versucht, die eigenen Rechte innerhalb der App auszuweiten. Wenn es Angreifern in diesem Szenario gelänge, bestimmte Autorisierungsmechanismen der Apps zu umgehen, könnten sie auf Daten anderer Anwender zugreifen.
Theoretisch wären dann alle Kunden betroffen, die die entsprechende App verwenden. Kritisch ist es auch, wenn eine Anwendung keinen Schutz gegen Klonung besitzt. Angreifer könnten dann eine exakte Kopie der Applikation erstellen, alle persönlichen Daten entnehmen und sich als Nutzer ausweisen.
Der Quellcode kann ebenfalls Einfallstor für Angriffe sein. Darum wurde hier kontrolliert, ob die Komponenten von Drittanbietern sicher implementiert wurden und die App wichtige Dateien verschleiert ablegt.
