Zentrum für sichere Informationstechnologie – Austria

Automatisierte Analyse von Windows Phone Applikationen

In diesem Projekt wurden etwa 65.000 Windows Phone Apps analysiert, um sicherheitsrelevante Fehler automatisiert zu identifizieren. Bei etwa 8,5 Prozent der Apps wurden solche Fehler erkannt.

Zur Analyse wurden die .NET Compiler Platform verwendet. Dies mit dem Ziel, sicherheitsrelevante Implementierungsfehler zu finden. Die gefundenen Fehler können in vier Kategorien eingeteilt werden:

  • Fehlerhafte Verwendung von Kryptographie
  • Unzureichende TLS Sicherheit
  • Ungeschützte API Schlüssel
  • Sonstige ungeschützte Clientgeheimnisse

Es wurden die Metadaten von 360.000 Applikationen aus dem Windows Phone Store geladen. Von diesen 360.000 Apps konnten 65.000 Apps analysiert werden, die restlichen (älteren) Apps sind verschlüsselt. Nach dem Extraktions- und Dekompilierungs-Schritt standen ca. 6 Millionen einzigartige Quelltextdateien zur Verfügung. 8,5% Prozent aller analysierten Apps enthalten mindestens eine potentielle sicherheitsrelevante Schwachstelle. 4.5% der Apps verwenden Zufallszahlengeneratoren mit fixem Seed. Die folgende Aufzählung zeigt die Anzahl der Apps pro Problemkategorie:

  • 181 Apps verwenden feste Schlüssel für kryptografische Operationen,
  • 293 Apps verwenden feste Initialisierungsvektoren für kryptografische Operationen,
  • 138 Apps verwenden 1000 Iterationen oder weniger für Schlüsselableitungen,
  • 500 Apps enthalten unzureichend geschützte Client-Geheimnisse,
  • 516 Apps ignorieren bestimmte TLS Fehler,
  • 4919 Apps enthalten unzureichend geschützte Google API Schlüssel,
  • 73 Apps enthalten einen ungeschützten Amazon Web Service Schlüssel und
  • 2980 Apps verwenden Zufallszahlengeneratoren mit fixem Seed.

Die Auswirkungen der gefunden Probleme können nicht statisch ermittelt werden, reichen aber von gefährdeter Privatsphäre im Fall von fehlerhafter Verwendung von Kryptographie oder unzureichender TLS Sicherheit bis hin zu finanziellen Belastungen des Entwicklers im Falle von kostenpflichtigen API Schlüsseln. Für mehr Details wird auf den Projektbericht verwiesen.

Downloads

Titel Version Datum
Projektbericht 1.0 2016-12-30

Veröffentlicht: 10.01.2017, Kategorie: IT-Sicherheit.