Stipsits, T. J. (2017). Sicherheitstests mobiler Applikationen im Umfeld medizinischer Anwendungen [Diploma Thesis, Technische Universität Wien]. reposiTUm. http://hdl.handle.net/20.500.12708/79617
Android; mobile Apps; IT-Sicherheit; Datenschutz; medizinische Applikationen; Analysekonzeption; Sicherheitsanalyse
de
Android; mobile apps; IT-security; data privacy; data security; medical- & health-apps; IT-security analysis
en
Abstract:
Besondere Herausforderungen von mobilen Technologien stellen der Datenschutz und die Sicherheit von Smartphone-Applikationen dar. Immer häufiger erlangen Meldungen über Datenlecks und Exploits die mediale Aufmerksamkeit, und das Thema des Datenschutzes rückt auch in Hinsicht auf die politische und rechtliche Situation in den Fokus. Im Zuge dieser Datenschutzdiskussion kommt speziell sensiblen Daten, wie etwa medizinischen oder gesundheitsbezogenen Datensätzen, Finanzdaten oder Daten mit einem direkten Personenbezug eine besondere Bedeutung zu. Ein zentraler Fokus dieser Diplomarbeit liegt auf dem Schutz besagter Daten, insbesondere im Hinblick auf die zunehmende Verwendung sensibler Daten im Rahmen mobiler Applikationen. Um die Sicherheit dieser Daten in mobilen Applikationen zu überprüfen, wird ein Einblick in den aktuellen Stand der Sicherheit bei mobilen Applikationen aus dem gesundheitsbezogenen Anwendungsgebiet gegeben. Aufgrund des deutlich höheren Marktanteils gegenüber anderen Betriebssystemen wird in dieser Erhebung ein thematischer Fokus auf das Android-Betriebssystem gelegt. Zu Beginn werden grundlegende Konzepte der IT-Sicherheit und des Aufbaus des Android-Betriebssystems diskutiert. Hierbei liegt insbesondere ein Fokus auf die Darlegung sicherheitskritischer Problematiken des Schutzes von sensiblen Daten auf mobilen Android-Systemen. Basierend auf diesen Grundlagen wird ein Testkonzept zur Überprüfung von Android-Applikationen aus dem medizinischen, beziehungsweise gesundheitsbezogenen Anwendungsbereich hinsichtlich der Sicherheit von sensiblen Daten geschaffen. Schließlich wird im zweiten Teil der Arbeit das erarbeitete Konzept im Rahmen einer Analyse von 5 frei erhältlichen Applikationen aus dem Android Play Store umgesetzt. Im Zuge der praktischen Anwendung des Testkonzeptes konnten schließlich einige potentielle Schwachstellen identifiziert werden. So konnte beispielsweise aufgezeigt werden, dass trotz Verwendung von TLS keine Applikation Zertifikats Pinning verwendet und einige Applikationen tiefgreifende Berechtigungen zum Sammeln von Daten benötigen. Weiters sind mehr als die Hälfte der Applikationen unter bestimmten Umständen bei physischem Zugang zum Gerät anfällig für die Extraktion von User-Datenbanken. Eine weitere Schwachstelle, die im Rahmen dieser Arbeit aufgezeigt werden konnte, bietet einem Angreifer potentiell Zugriff auf Benutzerdaten über das Server-Interface des App-Servers. Aufbauend auf den Resultaten dieser Arbeit könnten unterschiedliche Arbeiten angestrebt werden. Zum einen könnte die praktische Analyse weiter vertieft werden. So könnte ein detailliertes statisches Code-Review weitere Erkenntnisse zu der Bedrohungslage einzelner Applikationen erbringen. Andere Möglichkeiten wären die Erarbeitung von Richtlinien zur Entwicklung mobiler Applikationen, welche verpflichtend von allen Play Store Applikationen eingehalten werden müssen, die Ausdehnung der Analysen auf andere mobile Betriebssysteme zur Durchführung einer Meta-Analyse oder die Erweiterung sowie die Ausdehnung der Analyse auf eine größere Stichprobe von Android-Applikationen, um allgemeine Aussagen über den Stand der Sicherheit von medizinischen Daten in mobilen Applikation treffen zu können.
de
Especially data privacy and app security are challenges of mobile technologies. Recently, the number of reports that deal with data leakage and exploits is increasing constantly and the difficulties of these challenges are frequently addressed in political and legal discussions. Within these dis- cussions, sensitive data like financial-, medical- or other datasets with personal identification are of particular importance. This diploma thesis sets a focus on the protection of such datasets, since an increasing number of mobile applications utilize such data. In order to gain an insight in the level of data security of current mobile applications, an overview on basic security principles and mechanisms is given. In respect to the distribution of market shares in operating systems for smartphones, a focus is set on Android, the leading software system. At the beginning of this thesis, basic principles of IT-security and the architecture of the Android operating system are discussed. Based upon this basic principles, critical threats and risks for Android systems are presented and a concept for testing the data security of Android apps in the medical & health-related category is elaborated. Finally, a set of 5 applications, that are obtained within Google’s Play Store and are free of charge, is tested against the given concept. During the analysis of the chosen apps, several potential weaknesses and vulnerabilities of both, the apps and their backends, are discovered. An example for an uncovered weakness of an App is a lack in the implementation of mechanisms that provide a reliable protection against advanced man-in-the-middle attacks like certificate pinning. Another finding of this thesis is an uncovered vulnerability on the backend of a popular Android app. The web interface, that is used by the app to store and retrieve user databases, left the server prone to brute force attacks. A successful attack would potentially empower an attacker to obtain an unencrypted, full-featured copy of such a stored user database. Starting from the results of the conducted analysis, several approaches lead to further work. One possible course would be the deepening of the practical analysis by adding a detailed static and dynamic code analysis to the testing concept that is elaborated within this thesis. A different approach for further work could focus on designing mandatory guidelines and rulesets for the development of mobile applications that need to be fulfilled to gain permission for publishing a mobile app on Google’s Play Store. Furthermore, the extension of the analysis in terms of operating systems would be another example for a further work. Such research could apply the testing concept onto different mobile operating systems and strive for a meta-analysis. The results of such an analysis could be used to create a universal statement of data security across multiple mobile systems.