Automatisierte Analyse von Windows Phone Applikationen

erschienen in #IT-Sicherheit vom 10.01.2017

In diesem Projekt wurden etwa 65.000 Windows Phone Apps analysiert, um sicherheitsrelevante Fehler automatisiert zu identifizieren. Bei etwa 8,5 Prozent der Apps wurden solche Fehler erkannt.

Zur Analyse wurden die .NET Compiler Platform verwendet, mit dem Ziel, sicherheitsrelevante Implementierungsfehler zu finden. Die gefundenen Fehler können in vier Kategorien eingeteilt werden:

  • Fehlerhafte Verwendung von Kryptographie
  • Unzureichende TLS Sicherheit
  • Ungeschützte API Schlüssel
  • Sonstige ungeschützte Clientgeheimnisse

Es wurden die Metadaten von 360.000 Applikationen aus dem Windows Phone Store geladen. Von diesen 360.000 Apps konnten 65.000 Apps analysiert werden, die restlichen (älteren) Apps sind verschlüsselt. Nach dem Extraktions- und Dekompilierungs-Schritt standen ca. 6 Millionen einzigartige Quelltextdateien zur Verfügung. 8,5% Prozent aller analysierten Apps enthalten mindestens eine potentielle sicherheitsrelevante Schwachstelle. 4.5% der Apps verwenden Zufallszahlengeneratoren mit fixem Seed. Die folgende Aufzählung zeigt die Anzahl der Apps pro Problemkategorie:

  • 181 Apps verwenden feste Schlüssel für kryptografische Operationen,
  • 293 Apps verwenden feste Initialisierungsvektoren für kryptografische Operationen,
  • 138 Apps verwenden 1000 Iterationen oder weniger für Schlüsselableitungen,
  • 500 Apps enthalten unzureichend geschützte Client-Geheimnisse,
  • 516 Apps ignorieren bestimmte HTTPS Fehler,
  • 4919 Apps enthalten unzureichend geschützte Google API Schlüssel,
  • 73 Apps enthalten einen ungeschützten Amazon Web Service Schlüssel und
  • 2980 Apps verwenden Zufallszahlengeneratoren mit fixem Seed.

Die Auswirkungen der gefunden Probleme können nicht statisch ermittelt werden, reichen aber von gefährdeter Privatsphäre im Fall von fehlerhafter Verwendung von Kryptographie oder unzureichender TLS Sicherheit bis hin zu finanziellen Belastungen des Entwicklers im Falle von kostenpflichtigen API Schlüsseln. Für mehr Details wird auf den Projektbericht verwiesen.

Downloads

Datei Beschreibung Dateigröße
pdf Projektbericht Version 1.0 vom 30.12.2016
 786 kB