Snoop-It für iOS Sicherheitschecks von iPhone-Apps für fast jeden möglich

Deepsec 2012 Die Snoop-It-App soll jedem eine Basisüberprüfung der Sicherheit von Apps ermöglichen. Das könnte dazu führen, dass viele iOS-Entwickler entdeckt werden, die auf fragwürdige Art und Weise Daten erheben.

Andreas Kurtz von den NESO Security Labs und der Universität Erlangen-Nürnberg arbeitet an einem einfach zu bedienenden Werkzeug, um iOS-Anwendungen auf ihre Sicherheit hin zu überprüfen. Die Snoop-It-App wird auf einem iPhone oder iPad installiert und dort über einen simplen Dialog konfiguriert. Kurtz demonstrierte die Anwendung, die sich noch in einem Vorversionsstatus befindet, auf der Deepsec in Wien. Dabei fiel auf, dass sie vergleichsweise einfach zu bedienen ist. Das Herumhacken auf der Kommandozeile ist nicht einmal notwendig. Stattdessen nutzt der Anwender einfach einen Browser und verbindet sich mit der Snoop-It-App, die gerade eine App untersucht.

Snoop-It-Demo

Über den Browser kann dann mit den Sicherheitstests begonnen werden. Einige dieser Tests sind sehr einfach gehalten. So ist es etwa möglich, der App einen anderen Ort vorzugaukeln. Die Auswahl geschieht über Google Maps. Interessant ist das, um etwa eine Kontrolle von Apps zu ermöglichen, die nur in bestimmten Arealen, etwa dem Firmengelände, benutzt werden dürfen. Auch der Netzwerkverkehr kann untersucht werden. So sieht der Anwender, ob und wie die App auf externe Server zugreift und erhobene Daten abliefert und ob dies verschlüsselt geschieht. Zugriffe auf Systemkomponenten (Schlüsselbund, Dateien, Kontakte und Fotos) werden ebenfalls aufgenommen.

Mit Hilfe eines Ampelsystems werden kritische Zugriffe außerdem schnell erfassbar gemacht. Zudem kann der Anwender Hardware-IDs (MACs und UDID) fälschen, um zu sehen, wie die App darauf reagiert. Bekanntlich nutzen einige Apps, darunter auch das populäre Whatsapp, diese als feste Passwörter.

Potenzial für eine umfassende Sicherheitsüberprüfung des App-Katalogs

Die Snoop-It-App hat das Potenzial, die App-Welt unter iOS zu verbessern. Zwar führt Apple eine Kontrolle aller eingereichten Apps durch, diese ist aber nicht nur lückenhaft, sondern greift auch bei Sicherheitslücken nicht. Schließlich befindet sich Whatsapp als Negativbeispiel noch immer im App Store, obwohl die Anwendung mehrfach durch Sicherheitsprobleme aufgefallen ist. Derartiges Testen von Apps ist aufwendig, und dementsprechend werden nur wenige Apps überhaupt umfassend untersucht. Außerdem dürften zahlreiche Entwickler entdeckt werden, die allzu viele Daten sammeln.

Snoop-It beherrscht auch Verschleierungstaktiken. So kann die Anwendung auch Apps untersuchen, die das System nach verräterischen Hinweisen auf einen Jailbreak überprüfen und somit nicht starten würden. Snoop-It verbirgt einige dieser Hinweise, wie etwa Symlinks, Cydia oder manipulierte Dateirechte, die durch das Jailbreaken entstanden sind.

Die App Snoop-It soll noch vor Ende des Jahres erscheinen. Sie wird voraussichtlich über den Cydia-Store und Github verteilt. Der Quellcode wird laut Kurtz erst im nächsten Jahr bereitgestellt. Snoop-It setzt ein iOS-Gerät voraus und der Anwender muss in der Lage sein, einen Jailbreak durchzuführen. Ein paar Grundkenntnisse sind also notwendig. Eine Umsetzung auf Android ist derzeit nicht geplant.