Sicherheitslücken: Wie Angreifer Smartphones und Co. hacken

"Ihr Fernseher, Ihr Kühlschrank und ihr Smartphone – alle diese Geräte laufen über Schnittstellen-basierte Anwendungen", erläutert Adam Fisher, Direktor Security Engineering des IT-Sicherheitsunternehmens Salt Security, das Problem. Denn über diese Schnittstellen dringen Angreifer in die Systeme ein.

Adam Fisher hat sich mit seinem Team genauer angeschaut, wie in der modernen Softwareentwicklung Sicherheitslücken zustande kommen.

Apps werden zunehmend aus einzelnen Modulen zusammengesetzt. Sie werden also nicht mehr von Grund auf mit einer Programmiersprache von vorne bis hinten geschrieben. Vielmehr wird geprüft, welche Softwaremodule es für die einzelnen Aufgaben und Routinen schon gibt.

Die werden dann zusammengesetzt. Der Vorteil: So eine App ist in sehr kurzer Zeit fertig. Das Problem dabei: Die einzelnen Module tauschen ihre Daten über Schnittstellen aus, die oft nicht abgesichert sind. Diese Schnittstellen werden mit den Softwaremodulen einfach übernommen. Eine solche App wird also wie mit Bauklötzchen zusammengesetzt. Diese Bauklötzchen haben Fenster, über die Daten ausgetauscht werden.

Und kein Mensch kümmert sich mehr um die Fenster in den Bauklötzchen. Welche Daten über welche Schnittstellen laufen, ob und wie dieser Datenaustausch abgesichert ist, das wissen die Entwickler einer solchen App häufig gar nicht mehr. Und deshalb sind Schnittstellen zu einem Risiko geworden.

Denn über diese Schnittstellen finden immer mehr Angriffe auf Softwaresysteme statt. Und die sind deshalb erfolgreich, weil die Schnittstellen oft überhaupt nicht auf dem Radar der Entwickler sind, so Adam Fisher.

Und sie hätten keine Ahnung, was diese Schnittstellen genau machen. So fanden Sicherheitsspezialisten in einer Software für Web-Browser eine Schnittstelle, über die Inhalte von Web-Servern so an den Browser weitergereicht werden, dass er sofort die nötige Software-Routine fürs Anschauen öffnet. Dabei durften alle Datentypen weitergeleitet werden.

Das heißt, dass auch Schadsoftware, zum Beispiel eine Spionagesoftware, die Daten auf dem Computer ausliest, einfach an den Browser weitergegeben wurde. Ist so eine Schadsoftware erst einmal auf den Computer heruntergeladen, kann sie da viel Schaden anrichten.

Der Fehler wurde beseitigt. Die eingesetzte Schnittstelle erhielt eine zusätzliche Prüfroutine, die ausführbare Dateien an eine Sicherheitskontrolle weiterleitet, bevor sie in den Browser und damit in den Computer geladen wird.

Um Angriffe über solche Schnittstellen zu verhindern, hat die amerikanische Information Systems Security Association ein Drei-Punkte-Programm entwickelt:

1. "Als erstes brauchen wir eine klare Dokumentation von Schnittstellen, sie müssen erkannt und katalogisiert werden", meint Betty Burke, Sicherheitsspezialistin der amerikanischen Information Systems Security Association.

2. Sämtliche Daten, die über Schnittstellen ausgetauscht werden, müssten demnach von Sicherheitssoftware überwacht werden.

3. Für sämtliche Schnittregeln müssten zudem "Verkehrsregeln" aufgestellt, welche Daten wohin transportiert werden dürfen.

Diese zusätzlichen Sicherheitsmaßnahmen machen die App-Entwicklung teurer. Betty Burke findet das aber alternativlos: "Sonst kriegen wir es mit richtig massiven und üblen digitalen Angriffen zu tun."