print logo

Warum Hybrid-Apps zwar praktisch aber unsicher sind

Aufgrund von Sicherheitsrisiken müssen Hybrid-Apps gut geschützt sein
Arxan Technologies | 02.10.2017
©
 
Geringere Kosten und weniger Entwicklungsaufwand – hybride Applikationen bieten App-Entwicklern und -Anbietern viele Vorteile. Kein Wunder also, dass viele Branchen wie etwa die Spiele-Industrie aber auch digitale Mediendienste gerne auf sie zurückgreifen. In Sachen Security weisen Hybrid-Apps jedoch einige Schwachstellen auf, die ein gefundenes Fressen für Hacker und Cyberkriminelle sind.

Hybrid-Apps stellen eine Sonderform der mobilen App dar. Da ihr Quellcode plattformübergreifend verwendet werden kann, vereinen sie die Vorteile von nativen Apps und Webanwendungen. Entwickler können den Code bequem in HTML, CSS oder JavaScript erstellen und diesen dann in eine Anwendungsebene, die auf einem mobilen Endgerät funktioniert, verpacken. So können die Apps sowohl auf unterschiedlichen Mobilgeräten als auch auf unterschiedlichen Betriebssystemen wie Android, iOS oder Windows laufen. Für die Entwickler und Anbieter bedeutet dies letztlich geringeren Zeitaufwand und geringere Kosten bei einem deutlich breiteren Einsatzgebiet der App.

Deshalb sind hybride Apps so gefährlich

Der hybride App-Ansatz ermöglicht es Unternehmen zwar, ihre Apps deutlicher schneller und breiter einzusetzen, bringt aber auch neue Risiken mit sich. Mobile Apps sind für Cyberkriminelle generell ein beliebtes, weil leichtes Angriffsziel. Anders als etwa Server-Apps verlassen sie geschützte Umgebungen und bieten Hackern so die Möglichkeit, relativ leicht nach Schwachstellen in der Sicherheit zu suchen. Anwendungen, die mit sensibleren Informationen wie etwa Kreditkarten- oder Patientendaten zu tun haben, sind dabei natürlich ein vorrangiges Ziel.

Hybrid-Anwendungen sind nun nochmals deutlich risikobehafteter als herkömmliche mobile Anwendungen, da der hier verwendete JavaScript-HTML-Quellcode weniger Fähigkeiten zum Reverse Engineering und Tampering erfordert als nativer Binärcode. Ist es dem Angreifer erst einmal gelungen, zum Code vorzudringen, stehen ihm Tür und Tor auf für etliche weitere böswilligen Aktivitäten, wie z.B. das Ausschalten wichtiger Sicherheitskontrollen. Überdies besteht die Gefahr, dass sensible Daten und Informationen, die auf der App gespeichert sind, wie wertvolles geistiges Eigentum oder Personendaten, während der Laufzeitdaten abgegriffen werden.

Auch illegale Fake-Applikationen, d.h. Kopien offizieller Anwendungen, die versteckte schädlichen Codes enthalten, können auf diese Weise relativ leicht erstellt und mit etwas geschickt auch in offizielle Stores eingeschleust werden. Viele dieser gefälschten Anwendungen stehlen Daten, nerven die ahnungslosen Nutzer mit aggressiver Werbung oder aber manipulieren und stören andere auf den Geräten laufende Programme. Betroffene Anbieter sehen sich dank dieser Fake-Apps immer öfter mit Umsatzverlusten und Reputationsschäden konfrontiert.

Sicherheit für Hybrid-Apps

Obwohl Hybrid-Anwendungen mit großen Sicherheitsrisiken behaftet sind, muss doch kein Unternehmen grundsätzlich auf sie verzichten. Voraussetzung ist jedoch, dass die Entwickler und Anbieter der Apps effektive Applikationsschutz-Maßnahmen im Einsatz haben. Diese schließen mögliche Sicherheitslücken und können Cyberangriffe und Manipulationen so proaktiv verhindern.

Dabei empfiehlt sich zum einen der Einsatz innovativer Code-Verschleierungstechniken, die die sensiblen Programmcodes für Hacker unlesbar machen. Selbst wenn ein Angreifer dann in der Lage sein sollte, auf den Code zuzugreifen, kann er kaum etwas Nützliches daraus entziffern.

Diese Schutzmaßnahme sollte idealerweise mit Applikations-Laufzeit-Schutz ergänzt werden, um die hybride Anwendung mit wirksamen Selbstverteidigungs-Mechanismen auszustatten. Werden etwa Anti-Tamper-Steuerelemente in den Code eingewebt, ist er in der Lage, zur Laufzeit Checksummen zu bilden. Das bedeutet, dass die App ihren Code bei jedem Hochfahren kontrolliert, um den Originalzustand zu bestätigen und mögliche Manipulationen auszuschließen. Werden potenzielle Angriffe erkannt, kann die App dann z.B. automatisch beendet werden.

Egal ob native App oder Hybrid-Anwendung: Wenn App-Anbieter auf Nummer sicher gehen wollen und die Daten ihrer Kunden und die eigene Reputation vor Hackerangriffen und Manipulationen schützen möchten, dürfen sie bei der Sicherheit nicht sparen. App-Protection-Maßnahmen können ihnen dabei helfen, für den bestmöglichen Schutz zu sorgen.