Effiziente automatisierte Erst-Analyse von Android-Anwendungen in Bezug auf IT-Sicherheit basierend auf Open-Source-Werkzeugen

Abstract

Das Betriebssystem Android liegt mit knapp 85% Marktanteil weltweit an führender Position, und der Android eigene Google Play Store verzeichnet rund 2.8 Millionen mobile Anwendungen, die vielen Menschen den Mehrwert ihrer tragbaren Geräte aufzeigen. Gefahren, die diese Anwendungen mit sich bringen, bleiben allerdings oftmals im Verborgenen. In den vergangenen Jahren wurden im Bereich der mobilen Anwendungssicherheit zahlreiche Publikationen und Werkzeuge veröffentlicht. Dabei wurden die unterschiedlichsten Sicherheitsbereiche wie etwa Kommunikation, Kryptografie oder Datenzugriff und Speicherung fokussiert und Sicherheitslücken aufgezeigt. Um die Analysefunktionalität von unterschiedlichen Werkzeugen zu bündeln und eine automatisierte Sicherheitseinstufung in Bezug auf IT-Sicherheit von Android-Anwendungen durchzuführen, wurde innerhalb dieser Arbeit ein webbasiertes Testing as a Service (TaaS) Framework entwickelt. Dieses integriert unterschiedliche existierende Sicherheitsanalyse-Werkzeuge und führt basierend auf deren Ergebnissen eine Sicherheitseinstufung der Anwendung in Bezug auf die Empfehlungen des Open Web Application Security Project (OWASP) Top 10 sowie der CERT-Abteilung des Software-Engineering Institut der Carnegie Mellon Universität (CMU) durch. Um die am häufigsten auftretenden Sicherheitsprobleme, die sichersten sowie gefährdetsten Google Play Store-Kategorien und Veränderungen der Sicherheit im Bereich Kryptografie in den vergangenen sechs Jahren aufzuzeigen, wurde im Rahmen einer durchgeführten Evaluierung automatisiert die Sicherheit von jeweils 100 Android-Anwendungen aus den 58 unterschiedlichen Google Play Store-Kategorien (e.g. Android Wear, Business oder Finance) bestimmt. Bei der Analyse der 5.800 Google Play Store-Anwendungen durch die angebundenen Werkzeuge sowie die Sicherheitseinstufung, der in der Arbeit definierten Kategorien mangelnder Angriffsschutz, Sicherheitsinvalidierung, anwendungsübergreifende Zugriffskontrolle, Datenlecks und Eingabevalidierung, wurde bei rund 76% der untersuchten Anwendungen mindestens ein schwerwiegender Sicherheitsverstoß festgestellt. Das Ergebnis der sicherheitskritisch eingestuften Anwendungen variiert dabei in den unterschiedlichen Google Play Store-Kategorien. In sicherheitskritischen Kategorien wie Business, Family Education, Finance und Medical konnten geringere Häufigkeiten kritischer Anwendungen festgestellt werden. Die meisten Probleme zeichneten sich im Bereich der Sicherheitsinvalidierung beziehungsweise genauer in den Bereichen der Zertifikatvalidierung sowie Kryptografie ab. Im Gebiet der Kryptografie wurden Regeln zur Verwendung des Electronic Code Book Mode (ECB), Cipher Block Chaining Mode (CBC) mit konstant definierten Initialisierungsvektor (IV) sowie statischen Seeds evaluiert. Dabei konnte insgesamt ein Rückgang der Sicherheitsprobleme in diesem Bereich in den letzten sechs Jahren manifestiert werden.

The operating system Android is with almost 85% market share worldwide in a leading position and the Android Google Play Store counts around 2.8 million mobile applications. However, the threats these applications involve remain often untold. In the last few years publications and tools with a focus on security areas such as communication, cryptography and data access or data storage have been published. To compose the functionality of different analysis tools and to accomplish an automated security classification of Android applications with a focus on IT-Security, a web-based Testing as a Service (TaaS) framework has been implemented, which integrates various existing security analysis tools. Based on the analysis results of the integrated tools and the recommendations of the Open Web Application Security Project (OWASP) Top 10 as well as the rules of the CERT Department of the Software Engineering Institute of Carnegie Mellon University (CMU) the framework identifies the security class of the analyzed applications. In order to identify the most common security threats and issues, the most secure and vulnerable Google Play Store categories as well as the changes in the security field of cryptography in the last six years, an evaluation was conducted as part of the thesis to automatically determine the security of 100 android applications from 58 different Google Play Store categories that include categories such as Android Wear, Business or Finance. Analyzing the 5.800 Google Play Store applications using the framework attached tools, as well as the security classification of the defined categories Insufficient Attack Protection, Security Invalidation, Access Control, Sensitive Data Leakage and Input Validation resulted in at least one security issue in about 76% of the evaluated applications. The result of critical or insecure classified applications varied in different Google Play Store categories, with lower rates of critical applications found in security-critical categories such as Business, Family Education, Finance and Medical. Most of the issues were located in the Security Invalidation category or more precisely in the areas of Certificate Validation and Cryptography. In the field of Cryptography rules concerning the usage of Electronic Code Book Mode (ECB), Cipher Block Chaining Mode (CBC) with non-random Initialization Vector (IV) as well as static seeds have been evaluated and resulted overall in a decline of problems in the past six years.