Apps vor dem Unternehmenseinsatz durchleuchten
Das Fraunhofer Institut für Sichere Informationstechnologie bietet eine Sicherheitsanalyse von Apps für mobile Geräte an. Auf der CeBIT kündigte das SIT zudem neue Sourcecode-Analyse-Werkzeuge an.
Apps für die gängigsten mobilen Betriebssysteme (iOS, Android, Windows Phone, Blackberry) testet der vom Fraunhofer-Institut für Sichere Informationstechnologie SIT (Halle 9, Stand E 40) entwickelte Appicaptor automatisiert auf Sicherheitslücken. Das Institut bietet Unternehmen sein im vergangenen Herbst vorgestelltes Framework jetzt im Rahmen verschiedener Dienstleistungen und Abomodelle zum Testen ihrer Firmenapplikationen an.
Das aus verschiedenen Analysemethoden und -werkzeugen bestehende, erweiterbare Test-Framework sucht insbesondere nach Datenschutzverstößen, Sicherheitsschwachstellen und Implementierungsfehlern bei Anwendungen. Es liefert Reports, auf deren Basis die Sicherheitsverantwortlichen Black- und Whitelists erstellen und in ein Mobile-Device-Managementsystem (MDM) überführen können.
Neben diesen Dienstleistungen präsentiert das Institut auf der CeBIT neue Testverfahren für Code-Analysen. Anders als bisher erhältliche Code-Scanner, die in ihrer Konstruktion beschränkt sind und lediglich einfache lokale Softwarefehler finden, soll das SIT-Werkzeug auch schwerwiegende Sicherheitsschwachstellen finden, die etwa durch das Zusammenspiel mehrerer Softwaremodule entstehen. Es verfolgt dazu die Datenflüsse über viele Methoden und Klassen hinweg.
Die Analysen finden innerhalb der Entwicklungsumgebung statt. Ergebnisse sollen sofort nach dem Speichern der jeweiligen Codeänderung zur Verfügung stehen. Derzeit findet die Entwicklungsumgebung Eclipse für Java-Programme Berücksichtigung, weitere sollen folgen. Das Institut sucht dafür nach Partnerunternehmen. Erste Produkte werden voraussichtlich 2015 auf den Markt kommen, sagte Eric Bodden, Leiter der SIT-Abteilung "Secure Software Engineering". (un)
