Developing a vulnerability assessment concept for eHealth iOS applications

Abstract

Heutzutage sind Smartphones ein fester Bestandteil unseres Lebens und sowohl für die Kommunikation als auch zum Sammeln von Informationen nicht mehr wegzudenken. Mobile Geräte werden immer mehr in alltägliche Abläufe integriert. Dieser Trend macht auch vor Gesundheits-Anwendungen nicht Halt. Solche Applikationen, kurz Apps, speichern viele sensible Daten, die geschützt werden müssen. Electronic health-Apps (eHealth Apps) sind vielen Bedrohungen ausgesetzt. Oft führen fehlerhafte Konfigurationen und Software-Implementierungen zu Sicherheitsproblemen. Aufgrund der hohen Relevanz von Gesundheitsdaten können Sicherheitsprobleme besonders schwerwiegende Folgen haben. Mit Hilfe von Sicherheitstests, wie beispielsweise einer Schwachstellenanalyse, können Sicherheitsprobleme frühzeitig gefunden werden. Es existieren Standards und Leitfäden zur Durchführung solcher Tests, die jedoch nicht spezifische eHealth-Anforderungen berücksichtigen, z. B. die Minimierung der verarbeiteten Benutzerdaten, minimale Zugriffsberechtigungen und sichere Standardeinstellungen. Zudem legen viele Leitfäden ihren Fokus auf Android und kaum auf iOS Betriebssysteme oder beschreiben allgemeine Testprozesse. Das Ziel dieser Diplomarbeit ist es ein Schwachstellenanalyse-Konzept für iOS Applikationen auszuarbeiten, welches die speziellen Anforderungen von Gesundheits Apps berücksichtigt. Das Konzept soll den Zugang zu Sicherheitstests erleichtern und in verschiedenen Bereichen, beispielsweise bei Pentests, als Unterstützung dienen. Es kann aber auch für die Formulierung von Anforderungen oder von Entwicklern verwendet werden, um sichere Apps zu erschaffen. Um das Konzept dieser Arbeit zu testen, wurden vier Apps aus dem Apple App Store ausgewählt und anhand dessen auf Sicherheitsprobleme untersucht. Mit Hilfe des Konzepts wurde in jeder App mindestens eine Schwachstelle gefunden.

Nowadays, smartphones are an integral part of our lives and are indispensable for communication as well as for gathering information. Mobile devices are becoming more integrated into everyday processes and are even used in health-related matters. Electronic health applications, abbreviated as eHealth apps, are constantly increasing in popularity. Mobile health apps process a lot of sensitive data that needs to be protected. Misconfigurations and faultily designed software often lead to app vulnerabilities. Due to the high relevance of health data, vulnerabilities can have severe consequences. Security testing, such as vulnerability assessments, can help detect vulnerabilities in apps early on. There are standards and guidelines for conducting security tests. However, these do not consider specific eHealth requirements, for example minimizing the processed user data, minimum permissions and secure-by-default settings. Furthermore, guidelines focus primarily on Android and hardly on iOS operating systems or only describe general reviewing processes. This thesis aims to design a vulnerability assessment concept for iOS apps that considers specific eHealth requirements. The concept is intended to facilitate access to security tests and can be utilized in various areas, such as pentesting. It can also be used by requirement engineers or by developers to create safe apps. Some selected eHealth applications from the Apple App Store were assessed using the elaborated concept in order to validate its effectiveness. At least one vulnerability was found in each app using the concept.