Zentrum für sichere Informationstechnologie – Austria

Statische Analyse von iOS-Applikationen

Die Verhaltensanalyse mobiler Applikationen für Apple iOS ist nach wie vor eine zeitlich und investigativ sehr herausfordernde Prozedur. Schlussendlich steht zumeist nicht klar fest, welche Maßnahmen eine Applikation vorsieht, um sensible Daten zu schützen. Gleichermaßen schwer ist es festzustellen, ob Apps gegen etablierte Sicherheitsprinzipien, etwa bei Verwendung kryptographischer Funktionen, verstoßen und so Angriffe auf kritische Daten begünstigen.

Im Rahmen dieses Projekts wurde eine Lösung gesucht, um iOS-Applikationen einer automatisierten statischen Analyse unterziehen zu können, die konkrete Aussagen über sicherheitsrelevante Eigenschaften liefern soll. Konkret sollte z.B. festgestellt werden können, ob Apps bei der Verwendung kryptographischer Funktionen Parameter einsetzen, die als hinreichend sicher gelten. Da die statische Analyse von iOS-Anwendungen bislang ein vergleichsweise wenig erforschter Themenbereich ist, war im ersten Schritt dieses Projekts der Aufbau einer Wissensbasis über alle involvierten Komponenten vonnöten. Die wesentlichen Erkenntnisse daraus werden im Zuge dieses Berichts erläutert. Im zweiten Schritt wurde eine Analyse-Umgebung konzipiert, die eine vollautomatische Analyse von iOS-Anwendungen ermöglichen soll. Die Tauglichkeit der propagierten Lösung konnte im Rahmen einer Implementierung und dem Test mit realen Anwendungen eruiert werden. Neben Erkenntnissen über Schwächen der Umsetzung bei Apps, hat diese praktische Prüfung auch Einschränkungen der Lösung aufgezeigt, die einer schlüssigen Analyse hinderlich sein können.

Das vorgeschlagene Konzept sowie die praktische Umsetzung zeigen auf, dass die statische Analyse von iOS-Anwendungen in zielführender Weise durchführbar ist. Die Vielzahl an verfügbaren iOS-Anwendungen mit sicherheitsrelevanter Funktionalität drängen zudem die Notwendigkeit auf, künftig auch konkretere Untersuchungen einzelner Apps umzusetzen.

Downloads

Titel Version Datum
Projektbericht 1.0 2016-12-14

Veröffentlicht: 22.12.2016, Kategorie: IT-Sicherheit.