Home

ZertApps – Zertifizierte Sicherheit für mobile Anwendungen

projektbildSmartphones finden eine immer weitere Verbreitung sowohl im privaten als auch im Geschäftsumfeld. Nach Angaben des Verbandes BITKOM besitzt bereits jeder dritte Deutsche ein Smartphone – Tendenz stark zunehmend. Ein wesentlicher Erfolgsfaktor von Smartphones ist die Möglichkeit, Anwendungsprogramme (Apps) bequem in „App Shops“ von Anbietern im Internet zu erwerben, herunterzuladen und zu installieren. Mit den Chancen dieser Entwicklung gehen jedoch große Risiken einher, vor allem durch die wachsende Zahl von mobilen Anwendungen mit oft unbekannter Herkunft. Hierdurch steigt die Gefahr der Verbreitung von Schadsoftware, die sich beispielsweise als nützliche Anwendung tarnt. Zudem können Schwachstellen in Apps von Angreifern als Einstiegspunkte genutzt werden, um Zugriff auf Firmendaten zu erhalten. Das Verbundprojekt ZertApps (Zertifizierte Sicherheit für mobile Anwendungen) nimmt sich speziell dieser Problematik an.

App-Analysen und Zertifizierung für mehr Sicherheit

ZertApps unterstützt eine gründliche Analyse und anschließende Sicherheits-Zertifizierung von Apps, bevor sie zur öffentlichen Nutzung freigegeben wird. Dieser naheliegende Ansatz wird auch von App-Anbietern wie Google verfolgt. Entscheidend für die tatsächliche Erhöhung der App-Sicherheit sind jedoch die Qualität der eingesetzten Analyseverfahren und die sichere Erstellung und Verwaltung von Zertifikaten zur Verhinderung von Fälschungen. Hier besteht noch großer Forschungs- und Entwicklungsbedarf, den der Zert-Apps-Verbund aufgreifen wird, da die bestehenden Mechanismen noch leicht von Malware Anbietern umgangen werden können.

Erweiterungen bestehender Analyseverfahren

Die spezifischen, über den Stand der Technik hinausgehenden Lösungsansätze von Zert-Apps basieren auf einer anwendungsspezifisch optimierten Kombination von statischen wie auch dynamischen Analysen, der Integration der Sicherheitsmodelle von plattformspezifischen Umgebungen (hier soll primär Android berücksichtigt werden) und plattformunabhängigen HTML5- und Java-Umgebungen sowie der Berücksichtigung auch solcher Sicherheitslücken, die erst im Zusammenspiel mehrerer Apps entstehen.

Laufzeit: 01.01.2014 – 31.12.2015
Projektpartner: OTARIS Interactive Services GmbH, datenschutz cert GmbH, SAP AG, Fraunhofer-Institut für Sichere Informationstechnologie SIT, TU Darmstadt
Förderer: BMBF