"Brexit-App" für Android: Forscher warnen vor zahlreichen Sicherheitsmängeln
Eine App der britischen Einwanderungsbehörde zur Übermittlung von Identitätsnachweisen weist laut Forschern viele Angriffspunkte für Hacker auf.
(Bild: Pixelbliss/Shutterstock.com)
Im Rahmen einer Analyse wollen norwegische Forscher des IT-Sicherheitsunternehmens Promon gravierende Sicherheitsmängel in der Android-Version einer App der britischen nationalen Einwanderungsbehörde ("Home Office") entdeckt haben.
Die Anwendung "EU Exit: ID Document Check" wurde bislang über eine Million Mal aus Googles Play Store heruntergeladen. Die (auch für iOS verfügbare) App soll EU-/EWR- sowie Schweizer Bürgern, die auch nach dem Brexit in Großbritannien leben und arbeiten wollen, die Antragstellung im Rahmen des "EU Settlement Scheme" erleichtern.
Zielgruppe sind Personen mit so genanntem "settled status", die bereits fünf Jahre ohne Unterbrechung im Vereinigten Königreich leben oder gelebt haben. Dank der App brauchen sie die vom Home Office (zusätzlich zum ausgefüllten Antrag) benötigten Identitätsnachweise nicht auf dem Postweg verschicken: "ID Document Check" scannt Dokumente wie Reisepass und Co. sowie das Gesicht des Antragstellers, knipst zu guter Letzt noch ein biometrisches Foto und schickt das Ganze direkt an die Behörde.
Auf der Webseite der britischen Regierung findet sich eine detaillierte Anleitung zur Verwendung von "EU Exit: ID Document Check". Wie aus einem Artikel der Financal Times (FT) hervorgeht, steht die App Nutzern seit März dieses Jahres zur Verfügung. Zuvor sei sie von ihren Entwicklern mehrere Monate getestet worden.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Forscher: Malware könnte Daten stehlen
Die Forscher von Promon analysierten die Android-Ausgabe der App. Sie kamen zu dem Schluss, dass eine hohe Anfälligkeit gegen Malware bestehe, die eingescannte Dokumente und Gesichtsscans aus der Anwendung kopieren könnte.
Aus Promons Blogeintrag zur Analyse geht hervor, dass das Risiko nicht etwa von einer spezifischen Schwachstelle, sondern vielmehr von fehlenden, gerade für die Übermittlung sensibler Daten aber unerlässlichen Sicherheitsmechanismen ausgehe.
Gegenüber der FT sagte Lysemose Hansen von Promon, dass sich das Team bei seinen Tests zwar vorrangig darauf konzentriert habe, Daten aus der laufenden App zu kopieren; es sei aber durchaus auch möglich, der App Schadcode hinzuzufügen, während diese inaktiv sei, der dann zu einem späteren Zeitpunkt auf Scans und Fotos zugreifen könne.
Gerootete Android-Geräte erwiesen sich erwartungsgemäß als verwundbarer durch die Angriffe der Forscher; laut Blogeintrag funktionierten einige aber auch auf nicht gerooteten Geräten.
Auf die iOS-Version der App geht Promon im Blogeintrag nicht ein, und auf Anfrage von heise Security bestätigte ein Forscher, dass das Team diese nicht analysiert habe.
OWASP-Kriterien teils nicht erfüllt
Bei der Risikobewertung orientierte sich Promon am "Mobile Application Security Verification Standard" des Open Web Application Security Project (OWASP): Kapitel 8 des Mobile App Verification report definiert Mindestanforderungen für mobile Anwendungen zur Verarbeitung sensibler Daten. Um zu testen, ob die App diese erfüllt, attackierten sie sie nach eigenen Angaben mit "häufig verwendeten Angriffstechniken und Tools", deren Verwendung oftmals kaum technische Vorkenntnisse oder Fähigkeiten erfordere.
Zusätzlich zum fehlenden Schutz vor Malware-basiertem Datenklau nennt Promon noch weitere Punkte, in denen OWASPs Sicherheitskriterien nicht erfüllt würden. Unter anderem fehle jegliche Form von Obfuskierung/Verschleierung des Programmcodes, so dass dieser leicht von Angreifern analysiert werden könnte. Auch bemerke die App nicht, wenn sie dauerhaft modiziert werde oder Code Injection zur Laufzeit stattfinde.
Sie besitze keinerlei Debugging-Erkennung (oder gar Anti-Debugging-Mechanismen) und überprüfe auch nicht, ob sie auf einem gerooteten Gerät laufe. Zudem könnten Angreifer Benutzereingaben in Felder der App relativ einfach mitloggen.
Home Office sieht keinen Handlungsbedarf
Aus einem Statement des Home Office gegenüber der Financial Times geht hervor, dass die Behörde keinen Handlungsbedarf sieht. "Wir nehmen den Schutz persönlicher Informationen sehr ernst", heißt es darin sinngemäß. Die Widerstandsfähigkeit der App gegen alle bekannten und aufkommenden Bedrohungen werde (auch künftig) regelmäßig von unabhängigen IT-Sicherheitsfirmen getestet. Mehr als eine Million Menschen hätten die App bereits sicher genutzt.
Tatsächlich ist über Angriffe auf die App "in freier Wildbahn" zumindest nichts bekannt. Daraus lässt sich natürlich nicht folgern, dass es sie nicht gibt oder zukünftig geben könnte. (ovw)
