Für viele Studierende sind Praxisprojekte eine wertvolle Gelegenheit, um gelernte Theorie und teils noch unbekannte Praxis miteinander zu verbinden. Für Marc Klein, einen Studenten im Studiengang Cyber Security & Privacy (B.Sc.), wurde sein Praxisprojekt bei der SRC Security Research & Consulting GmbH zu einem eindrucksvollen Beispiel dafür, wie wichtig Sicherheitsanalysen von Apps sind. Mit der Prüfung einer Gesundheits-App deckte er Sicherheitslücken auf, die die sensiblen Daten zehntausender Nutzer gefährden konnten – mit potenziell schwerwiegenden Folgen.
Die Aufgabe: Mobile Sicherheit im Fokus
Das Projekt begann mit einer klaren Aufgabenstellung: Die Untersuchung einer Gesundheits-App, die via Bluetooth mit einem Blutdruckmessgerät kommuniziert. Ziel war es, durch Reverse-Engineering-Techniken potenzielle Schwachstellen zu identifizieren. Dabei kamen sowohl statische als auch dynamische Analysemethoden zum Einsatz, um die Sicherheit der App umfassend zu bewerten.
Marcs Einarbeitung fokussierte sich zunächst auf die Grundlagen mobiler Sicherheit mit Schwerpunkt auf Android-Anwendungen. Frei verfügbare Tools wie das Mobile Security Framework (MobSF) und MITMProxy spielten dabei eine zentrale Rolle. SRC stellte sicher, dass er Zugang zu einer optimalen Testumgebung hatte, was den Grundstein für seine späteren Erkenntnisse legte.
Die Entdeckung: Ein kritisches Sicherheitsleck
Bei der Untersuchung der zweiten App, „ViHealth“, trat eine gravierende Schwachstelle zutage: Die App prüfte die Authentizität nicht ausreichend, was bedeutete, dass sich theoretisch auf alle Benutzerkonten zugreifen ließ – sowohl lesend als auch schreibend. Sensible Gesundheitsdaten von etwa 92.000 europäischen Nutzern waren damit angreifbar.
Was hätte ein Angreifer mit diesen Daten tun können? Die Möglichkeiten reichen von Identitätsdiebstahl über gezielte Phishing-Angriffe bis hin zu manipulativen Veränderungen der gespeicherten Gesundheitsdaten – mit potenziell lebensbedrohlichen Konsequenzen, wenn Nutzer sich auf diese Informationen verlassen.
Die Schwachstelle lag in der Art und Weise, wie die App Signaturen für API-Anfragen generierte. Anstelle einer zusätzlichen Überprüfung auf dem Server, wurde die Signatur lediglich clientseitig berechnet. Mit einem Bash-Skript ließ sich diese für jede Benutzerkennung erzeugen und so auf fremde Datensätze zugreifen. Marc nutzte Tools wie JADX, um den dekompilierten Quellcode zu analysieren und die Logik hinter der Signaturerstellung zu rekonstruieren. Diese Entdeckung verdeutlicht, wie problematisch unsichere clientseitige Authentifizierungsverfahren sind.
Die Konsequenzen: Zusammenarbeit mit dem BSI
Nach der Identifizierung der Schwachstelle setzte SRC gemeinsam mit Marc den Coordinated Vulnerability Disclosure (CVD)-Prozess in Gang. Der Hersteller der App, Viatom, wurde kontaktiert, reagierte jedoch nicht fristgerecht. Daher schaltete SRC das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein, welches die Kommunikation mit dem Hersteller übernahm und eine 90-tägige Frist zur Schließung der Sicherheitslücke setzte.
Während dieses Prozesses bewährte sich seine Arbeit erneut, denn neben der Dokumentation der Schwachstelle stellte er auch eine Risikoeinschätzung nach dem Common Vulnerability Scoring System (CVSS) bereit. Mit einem Wert von 8,6 wurde die Schwachstelle als kritisch eingestuft und durch die Kooperation konnte die Lücke schließlich geschlossen werden. Für Marc war dies ein Moment, den er zu Beginn des Projekts nicht erwartet hatte: Eine „kleine App“ zu analysieren und am Ende eine Aufnahme in die Hall of Fame des BSI in Aussicht gestellt zu bekommen.
Lessons Learned: Was dieses Praxisprojekt verdeutlicht
Dieses Praxisprojekt zeigt eindrucksvoll, wie gravierend Schwachstellen in alltäglichen Anwendungen sein können. Besonders im Gesundheitsbereich, wo sensible Daten verarbeitet werden, ist die Sicherheitsprüfung unverzichtbar. Die Arbeit unterstreicht zudem die Wichtigkeit Sicherheitsanalysen systematisch und methodisch durchzuführen.
Es verdeutlicht auch, dass Endnutzer oft nicht erkennen können, welche Risiken hinter scheinbar harmlosen Apps stecken. Apps, die Gesundheitsdaten verarbeiten, sollten besonders kritisch hinterfragt werden. Die Verantwortung liegt hier gleichermaßen bei den Entwicklern und den Institutionen, die Sicherheitsstandards überwachen.
Fazit: Sicherheitsanalysen sind eine Notwendigkeit
Das Engagement von SRC, junge Talente wie Marc zu fördern, zahlt sich aus. Die Kombination aus fundierter Einarbeitung, praxisnahen Herausforderungen und der Zusammenarbeit mit Institutionen wie dem BSI ermöglicht Projekte wie diese. Es zeigt, dass Sicherheitsprüfungen keine Option, sondern eine Notwendigkeit sind – besonders in Bereichen, die sensible Daten betreffen. Dieses Praxisprojekt ist ein Beispiel dafür, wie wichtig es ist, Apps nicht nur funktional, sondern auch sicher zu entwickeln. Der Nutzen für die Anwender steht und fällt mit der Integrität und Sicherheit der Anwendungen.