109556

Angriff über Handy-Anwendung

02.06.2005 | 15:09 Uhr |

Ein ansonsten sicherer Web-Server kann durch Schwachstellen in mobilen Anwendungen manipuliert werden.

Die Sicherheitsfirma Secure Test , spezialisiert auf Penetrationstests, demonstriert, dass man mit der Manipulation von Anwendungen für mobile Geräte auch Web-Seiten kompromittieren kann, die ansonsten als sicher gelten.

Die Demonstration basiert auf einer fiktiven Glücksspiel-Website mit einer Anwendung für Pferdewetten. Benutzt wird ein Smartphone vom Typ Sony-Ericsson P900, das mit frei erhältlichen Programmen ausgestattet ist. Die Anwendung zum Wetten basiert auf J2ME, der Java-Implementierung für mobile Geräte. Durch etliche Abfragen mit dieser Anwendung und Analyse der Antworten kann der Code der Anwendung so verändert werden, dass der Angreifer eine Datenbank auf dem Server manipulieren kann, in der die laufenden Wetten, Einsätze und Quoten gespeichert sind. Er könnte sich also Gewinne erschleichen oder andere Mitspieler schädigen.

Der Web-Server (Microsoft Internet Information Server, IIS) ist mit einer Firewall geschützt und durch Einsatz des Programms " IIS Lockdown " von Microsoft weiter abgesichert. Nur die Ports 80 (HTTP) und 443 (HTTPS) sind von außen erreichbar. Er läuft allerdings unter Windows XP mit Service Pack 2 - in der Praxis würde man eher Windows Server 2003 oder ein Unix-System verwenden.

Die allgemeine Lehre aus diesem - isoliert betrachtet eher akademisch anmutendem - Beispiel ist, dass es nicht genügt, Fenster und Türen zu verriegeln und mit Alarmanlagen zu sichern. Ist die Tür zwischen Garage und Hausflur offen, ist auch das geschlossene Garagentor nur eine überwindbare Hürde für Einbrecher. Auch bei Web-Anwendungen müssen alle möglichen Zugangsarten und Kommunikationsebenen auf Schwachstellen abgeklopft werden.

Ein großer Teil der in letzter Zeit festgestellten Schwachstellen sind auf der Anwendungsebene gefunden worden. Das heißt legitime Anwendungen, die durch äußere Schutzmechanismen nicht vom Zugriff abgehalten werden, enthalten Sicherheitsmängel oder der Umgang der Gegenstelle (Web-Server, Datenbank-Server) mit den von einer solchen Anwendung gesendeten Daten ist fahrlässig.

0 Kommentare zu diesem Artikel
109556