APPassay

Bewertung und Analyse von Apps für verbesserten Datenschutz und erhöhte Sicherheit

Mann vor PC sitzend; ein Handy nutzend für die Zweifaktorauthentifizierung
Die Sicherheit mobiler Apps ist essenziell für Geschäft und Alltag. © Adobe Stock / Bits and Splits

Motivation

Mobile Apps unterstützen uns in fast allen Lebenslagen. Dabei benötigen sie häufig Zugriff auf umfassende private Informationen, um ihre Dienste ausführen zu können. Kriminelle können über schadhafte Apps an diese Daten gelangen und sie zu ihrem Vorteil nutzen. Aber auch vertrauenswürdige Apps erweitern ihre Funktionalität oft durch externen Code, der risikobehaftet sein kann. Untersuchungen zeigen, dass insbesondere Werbecode private Daten verarbeitet – und zwar oft ohne hinreichende Restriktionen, ohne das Wissen der Nutzenden und mitunter sogar ohne das Wissen der Entwicklerinnen und Entwickler. Folglich können sehr sensible Informationen, wie beispielsweise Zugangsdaten oder Daten zu Finanztransaktionen, mit einer trügerischen oder fehlenden Absicherung abgegriffen werden. Die Bewertung der Sicherheitsrisiken gestaltet sich selbst durch Expertinnen und Experten schwierig, da externer Code teilweise versteckt ist.

Ziele und Vorgehen

Das Ziel des Projekts „Bewertung und Analyse von Apps für verbesserten Datenschutz und erhöhte Sicherheit (APPassay)“ ist die Entwicklung einer gleichnamigen Analyseplattform, die verschiedene Code-Scanner integriert und dadurch eine fortgeschrittene, tiefgehende Analyse und umfassende Risikobewertung von Apps ermöglicht – schon bevor eine App auf einem Gerät installiert wird. Dazu werden verschiedene technische Ansätze zum Aufdecken von versteckten Sicherheitslücken weiterentwickelt und die unterschiedlichen Verfahren gemeinsam mit existierenden Verfahren aus anderen Quellen durch Meta-Analysen zusammengeführt. Im Rahmen des Projekts werden auch Nutzungskonzepte für Unternehmen entwickelt, die damit die Analyse in ihre Prozesse einbinden können. Nutzerinnen und Nutzer erhalten über eine einfach verständliche Website Analyseinformationen zur Sicherheit von ausgewählten Apps.

Innovationen und Perspektiven

Das innovative Potenzial der Plattform APPassay basiert darauf, versteckte Zugriffe zu erkennen und verschleierte Codestellen zu identifizieren. Dazu werden erweiterte Detektoren eingesetzt, die Schwachstellen aufspüren, indem sie verschiedene selbst entwickelte sowie bereits existierende Analyseverfahren kombinieren. Ein nutzerfreundlicher Zugang macht die Plattform zu einem innovativen Produkt, das Privatleute, Entwicklerinnen und Entwickler, Software-Analysten, aber auch Unternehmen und App-Stores nutzen können. Nutzende können sich mit APPassay über aktuelle Gefahren von bereits installierten Apps informieren und sich dann ggf. gegen die Installation potentiell sicherheitskritischer Apps entscheiden. Entwicklerinnen und Entwickler können überprüfen, ob Code, der integriert werden soll, mit den Richtlinien für die entwickelte App übereinstimmt. Unternehmen können Firmengeräte auf Verstöße gegen Firmenrichtlinien oder Datenschutzverordnungen hin überprüfen und entsprechende Konsequenzen ziehen. Schlussendlich können auch App-Stores profitieren, da sie den Inhalt von Apps auf einer besseren Informationsbasis bewerten und Nutzende für Datenschutz sensibilisieren können.