Themenwelt: Aufpassen
Selbstverteidigung fürs Smartphone
Von praktisch bis skurril – heute gibt es scheinbar für alles und jedes eine App: eine, die den Puls misst; eine, die weiß, wann die nächste Bahn kommt; und eine für die, die gerne Luftpolsterfolien platzen lassen. „Apps“ beziehungsweise „Mobile Apps“ sind mobile Anwendungssoftware für Smartphones oder Tablets. Doch bei allem Spaß und Nutzen haben Apps auch Fehler und Schwachstellen, die die Sicherheit und Privatsphäre ihrer Nutzer gefährden.
Selbstverteidigung fürs Smartphone

Im Projekt RUNSECURE entwickelt die Darmstädter Forschungsgruppe um Eric Bodden ein System, das Sicherheitsrisiken in Apps analysiert. Bisher wurden statische Vorab-Analysen (wenn die App noch nicht läuft) und dynamische Laufzeit-Analysen (während die App läuft) getrennt betrachtet. Statische Analysen nehmen nur den Programmcode ins Visier. Damit können Fehler bereits vor dem Einsatz erkannt und behoben werden. Vielerlei Schwachstellen lassen sich jedoch erst während der Anwendung erkennen. Dynamische Analysen beobachten daher das laufende Programm.

Um Apps rundum sicher
zu machen, müssen statische
und dynamische Analysen
miteinander verknüpft werden.

Doch mancher Schad-Code kann auch seinerseits dynamische Analysen erkennen. Eine Virus-App kann beispielsweise zum Zeitpunkt der Analyse ihren Angriff zurückhalten und sich so als legitimes Programm tarnen. Um Apps rundum sicher zu machen, müssen daher sowohl statische als auch dynamische Analysen greifen. RUNSECURE soll erstmals beide Technologien effektiv miteinander verknüpfen, um beiden Problemen zu begegnen. Als Ergebnis soll ein Werkzeug entstehen, das die sichere Ausführung von Applikationen effektiv erzwingt.

Mehr Sicherheit durch die Kombination 
        von statischen und dynamischen Analysen

Das Darmstädter Team hat ein Werkzeug namens „FlowDroid“ entwickelt, das mittlerweile Dutzende anderer Forschungsgruppen weltweit benutzen. FlowDroid analysiert effizient und gleichzeitig hochpräzise Datenflüsse in Android-Applikationen. Es findet beispielsweise Datenlecks in Apps, die die Privatsphäre des Nutzers verletzen – entweder unabsichtlich durch Fehler im Programmcode oder mit böser Absicht. Dazu setzt FlowDroid eine statische Code-Analyse ein, die laufen kann, bevor der Nutzer oder die Nutzerin die App aufruft. Das verhindert, dass der schädliche Code in der App die Analyse erkennen kann. Nun will das Forscherteam in einem zweiten Schritt ein dynamisches Tool einsetzen, das auf Basis der vorangegangenen Analysen bereits erkannte, problematische Datenflüsse automatisch und effektiv unterbindet.

„FlowDroid“ findet Datenlecks
in Apps, die die Privatsphäre
des Nutzers verletzen.

Die Gruppe von Eric Bodden will Sicherheitstechnologien in die praktische Anwendung bringen. So könnte am Ende des Projekts eine Smartphone-Applikation oder eine Erweiterung des Android-Betriebssystems stehen, die Nutzerinnen und Nutzer nicht nur effektiv vor schädlichen Applikationen warnt, sondern auch das fehlerhafte Verhalten der App verhindern kann – für mehr Sicherheit in der digitalen Gesellschaft.

Steckbrief

Name des Projekts: Beweisbar sichere Programmausführung durch deklarativ definierte dynamische
Programmanalysen (Kennwort: RUNSECURE)

Standort: Technische Universität Darmstadt

Beteiligte Wissenschaftlerinnen und Wissenschaftler: Prof. Dr. Eric Bodden

DFG-gefördert im Programm: Emmy Noether-Programm

Förderung: seit 2012

NACH OBEN