- Anzeigen -


Schwachstellen-Scanner für Android


Für App-Entwickler: SSL-Sicherheitslücken automatisch finden und schließen können
Schwachstellen-Scanner lassen sich auf einfachen Computern betreiben und finden komplexe Fehler in kürzerer Zeit

(02.04.14) - Das Fraunhofer-Institut für Sichere Informationstechnologie (Franhofer SIT) hat einen Schwachstellen-Scanner für Android veröffentlicht, mit dem App-Entwickler SSL-Sicherheitslücken automatisch finden und schließen können. Die Software ist im Internet kostenlos unter https://sit.sit.fraunhofer.de/eclipse/howto-ssl/ herunterladbar und ist ein Ergebnis aus dem vom Bundesministerium für Bildung und Forschung geförderten European Center for Security and Privacy by Design (EC Spride) in Darmstadt. Dort entstanden neue Testwerkzeuge für Android- und Java-Code, die sich direkt in die Entwicklungsumgebung integrieren lassen und neue Analyseverfahren nutzen. Diese ermöglichen es, auch schwer zu findende Fehler im Programm-Code äußerst schnell ausfindig zu machen.

Viele Sicherheitslücken entstehen durch einfache Programmierfehler, die sich aufgrund der Komplexität heutiger Software-Produkte kaum vermeiden lassen. Oft besteht eine Software aus vielen Programm-Teilen, die von ganz unterschiedlichen Programmierern geschrieben wurden. Das Zusammenspiel der verschiedenen Teile ist für Menschen schon längst nur noch schwer nachvollziehbar. Deshalb nutzen Software-Unternehmen heute Testwerkzeuge, mit denen sich Programmcode automatisch prüfen lässt. Herkömmliche Schwachstellen-Scanner, die man auf dem eigenen Rechner betreiben kann, finden jedoch nur einfache Fehler. Um komplexere Sicherheitslücken im Programm-Code aufzuspüren, mussten Software-Unternehmen bislang den eigenen Code zum Beispiel von teuren Testdiensten aus Übersee analysieren lassen. Die Ergebnisse erhalten die Unternehmen jedoch erst zeitverzögert, wenn die Entwickler vielleicht schon mit ganz anderen Dingen beschäftigt sind.

Prof. Dr. Eric Bodden vom Fraunhofer SIT und sein Team am Cybersicherheitszentrum EC Spride haben deshalb effiziente Analyse-Verfahren entwickelt und in Testwerkzeuge integriert. Diese neuen Schwachstellen-Scanner lassen sich auf einfachen Computern betreiben und finden komplexe Fehler in kürzerer Zeit. Die CodeScan-Werkzeuge der Darmstädter Forscher liefern die Ergebnisse zum Teil schon in Millisekunden. Möglich machen das neue Analyse-Verfahren, die auch komplexe Wechselwirkungen im Code schnell prüfen können. "Sichere Software-Entwicklung ist wie ein Labyrinth", sagt Bodden, "es ist ganz leicht falsch abzubiegen, aber sehr schwer, den richtigen Weg zu finden. Deshalb nutzen die Unternehmen Testwerkzeuge, um möglichst schnell zum Ziel zu kommen. Mit herkömmlichen Testwerkzeugen können Entwickler aber gerade mal um die nächste Ecke schauen. Mit unseren Tools blicken sie zehn Ecken voraus."

Die Analyseverfahren lassen sich auf unterschiedliche Programmiersprachen anwenden und auch für bestimmte Aufgaben optimieren.

Das aktuelle Analysewerkzeug unterstützt beispielsweise hochkomplexe Datenflussanalysen. Ein einfacheres, aber in der Praxis sehr relevantes Beispiel ist der jetzt veröffentlichte Scanner für SSL-Schwachstellen. Dabei handelt es sich um ein Eclipse-Plug-In, das Programmierer problemlos in typische Entwicklungsumgebungen integrieren können. Das Testwerkzeug hilft App-Entwicklern dabei, fehlerhafte Verwendungen des Secure Socket Layer-Protokolls (SSL) in Android Code zu finden und kann als Open-Source-Software kostenlos genutzt werden. Wie groß das SSL-Problem für Apps ist, zeigte sich im vergangenen Jahr, als das Fraunhofer SIT entsprechende Fehler in zahlreichen Apps entdeckte, die für die Nutzer zum Teil mit großen Risiken verbunden waren. (Fraunhofer SIT: ra)

Fraunhofer SIT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Security Entwicklung

  • Schnellere Reaktion auf zielgerichtete Angriffe

    FireEye, Spezialistin für den Schutz von Unternehmen vor bisher unbekannten Cyberangriffen, stellt das "Investigation Analysis System" (IA-Serie) vor. Es handelt sich dabei um ein Forensik-Analyse-Tool, das die Untersuchung von Zwischenfällen beschleunigen und effektiver gestalten soll. Dazu verbindet es In-Depth-Analyse und -Visualisierung mit dem schnellen und verlustfreien Packet Capture und Packet Retrieval. Mit dieser Lösung baut FireEye ihr Angebot im Bereich Forensik weiter aus und fügt ihren Threat-Prevention-Plattformen mit der erweiterten "Multi-vector Virtual Execution" (MVX)-Technologie samt umfangreicher Informationen und investigativer Analytik eine weitere Komponente hinzu. Die IA-Serie wurde speziell für die Herausforderungen derer entwickelt, die direkt nach der Entdeckung eines Angriffs die Untersuchung des Vorfalls einleiten müssen.

  • Forensische Analyse auf Apple-Betriebssystemen

    FireEye bietet ihren Schutz vor zielgerichteten Angriffen nun auch für Apple-Produkte an und schützt das Mac-Betriebssystem OS X auf der Netzwerk-Sicherheitslösung und iOS auf ihrer Plattform für mobile Endgeräte. FireEye schützt vor bekannten und unbekannten Angriffen und ermöglicht die forensische Analyse auf Apple-Betriebssystemen. Mit der Unterstützung von Mac-Betriebssystemen in den Produkten "FireEye Network Security Threat Prevention Platform" (NX-Serie), "FireEye Forensic Analytics" (AX-Serie), "FireEye Mobile Threat Prevention" (MTP) und dem "FireEye Investigation Analysis System" (IAS) ist das Unternehmen nach eigenen Angaben der erste Anbieter im Bereich Cybersicherheit, der eine integrierte Sicherheitslösung für den Schutz von Microsoft-, Apple- und Google Android-Plattformen anbietet.

  • Integrierte Threat Defense-Lösung

    FireEye hat "FireEye MVX-IPS" vorgestellt, eine neue Art von Intrusion Prevention-Systeme (IPS), die die IPS-Sicherheitsschicht mithilfe von "FireEye MVX Technology" und "FireEye Dynamic Threat Intelligence" modernisiert. Das IPS bietet einen breiteren Überblick über Multi-Vektor Angriffe, um den Schutz vor bekannten und unbekannten Angriffen zu verbessern. FireEye MVX-IPS ist bereits in der Beta-Version verfügbar, und wird als Add-On-Lizenz für die "FireEye Network Threat Prevention Platform" ("NX series") in der ersten Jahreshälfte 2014 verfügbar sein.

  • 110616_pro_int_greenbone

    Greenbone Networks, Expertin für Schwachstellenanalyse, ermöglicht Sicherheitsadministratoren ab sofort eine einfachere, schnellere und benutzerdefinierte Konfiguration ihrer Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS). Als offizielles Mitglied im Sourcefire Technology Partner Program (STP) hat Greenbone dafür eine Schnittstelle in ihrem Schwachstellen-Scanner integriert, um Scan-Ergebnisse direkt weiterzuleiten.

  • 110629_pro_int_sourcefire

    Sourcefire, Inc. gab bekannt, dass das "Sourcefire 3D System" mit dem Open Source-basierten "Greenbone Security Manager" zusammenarbeitet.So ermöglicht Greenbone Networks, eine Expertin für Schwachstellenanalyse, Sicherheitsadministratoren eine einfache, schnelle und benutzerdefinierte Konfiguration ihrer Intrusion Detection- und Intrusion Prevention-Systeme (IDS/IPS).