Software-Entwickler: Krypto-Fehler vermeiden mit Cognicrypt

Ein Passwortmanager der Sicherheitsfirma Norton und die App der Volksbanken hatten bis vor kurzem eine Gemeinsamkeit: Bei beiden wurden kryptographische Funktionen fehlerhaft implementiert. Entdeckt wurde das durch die Open-Source-Software Cognicrypt. Damit lassen sich Apps auf derartige fehlerhafte Funktionen hin untersuchen. Cognicrypt kann aber nicht nur analysieren, sondern auch den Code für kryptographische Funktionen generieren, wie der Sicherheitsforscher und Professor für Softwaretechnik an der Universität Paderborn, Eric Bodden, auf der Sicherheitskonferenz Ruhrsec in Bochum gezeigt hat.

Die Apps von Norton und den Volksbanken sind keineswegs die einzigen mit fehlerhaften kryptographischen Funktionen, sie sind Teil einer Studie der Cognicrypt-Entwickler, an der auch Bodden mitgewirkt hat. Diese untersuchte die 250 Top-Android-Apps aus den Bereichen Banking, Gesundheit und Passwortspeicher im Google Playstore. In 71 Prozent der Fälle fanden sie fehlerhafte kryptographische Implementierungen. Häufig schreiben App-Entwickler den Code jedoch gar nicht selbst, sondern greifen auf Snippets aus Repositorys wie Maven zurück. Auch hier führten die Forscher eine Studie durch und analysierten über 2,7 Millionen Java-Snipptes auf Maven. Sie wurden in 73 Prozent der Fälle fündig. Nicht selten hätten die Entwickler gleich mehrere Fehler gemacht, sagt Bodden. Das häufigste Problem sei die Verwendung von AES im unsicheren ECB-Modus.