Sichere Apps für mobile Geräte

Sichere Apps für mobile Geräte

Artikel erschienen in IT Magazine 2011/06

Mobile Websites oder native Apps?

Ein Ansatz für sichere mobile Applikationen ist die Entwicklung von mobilen Webseiten oder der Einsatz von hybriden Apps, also Programmen, die teilweise mit Webtechnologien wie HTML5 entwickelt werden. Auf diese Weise erreicht man exakt die Sicherheitsstufe wie auf Desktop-PCs – das Smartphone ist ja eigentlich auch nichts anderes als ein kleiner Rechner mit Browser. Das bedeutet jedoch, dass natürlich wie auf PCs auch Attacken wie Cross-Site-Scripting, Phishing und Man-In-The-Middle denkbar sind.
Eine weit bessere Lösung ist deshalb die Entwicklung von sogenannten nativen Apps. Native Apps haben die besseren Voraussetzungen, sichere Anwendungen zu werden, da ihre initiale Angriffsfläche deutlich kleiner ist als die einer Webanwendung: Es gibt keinen Javascript-Interpreter, der ungewollten Code ausführen könnte, und keine Möglichkeit, die Benutzeroberfläche zu verändern, etwa durch externen HTML-Code.
Nachfolgend werden einige Aspekte aufgeführt, die Entwickler nativer Apps berücksichtigen sollten und zwar vom Beginn der Entwicklung an. Denn Sicherheit ist kein Feature, das mit Version 2.0 nachgeliefert werden kann.

Sandbox – isolierte Apps

Apps laufen sowohl unter Apples Betriebssystem iOS als auch unter Googles Android in einer Sandbox. Das bedeutet, dass das Betriebssystem dafür sorgt, dass keine Anwendung Operationen durchführen kann, die andere Apps oder das Betriebssystem selbst ungewollt beeinflussen. Dazu gehört, dass Apps in getrennten Prozessräumen ausgeführt werden und keinen Zugriff auf die Daten anderer Applikationen haben.
Die Implementierung einer solchen Sandbox ist je nach Plattform unterschiedlich. iOS-Apps werden in einem sogenannten chroot-jail ausgeführt, das heisst eine Anwendung sieht nur einen kleinen Teil des gesamten Dateisystems, nämlich ihre eigenen Daten und bestimmte, für den allgemeinen Zugriff freigegebene Bereiche (Fotos, Adressbuch, etc.). Android-Apps in einer Sandbox haben dagegen eine komplette Sicht auf das Dateisystem, laufen jedoch unter einem eigenen Benutzerkonto mit eingeschränkten Rechten. Android-Entwickler müssen deshalb aufpassen, dass sie die Berechtigungen der Anwendungsdaten korrekt setzen, was zum Beispiel bei früheren Skype-Versionen nicht der Fall war.

Neuen Kommentar erfassen

Anti-Spam-Frage Was für Schuhe trug der gestiefelte Kater?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER