Studie: Android-Entwickler kopieren oft – auch Sicherheitslücken

Als anekdotischer Allgemeinplatz hat es längst die Runde gemacht, dass die von Entwicklern gern genutzte Online-Community Stack Overflow nicht immer sichere Lösungen zu Problemen liefert. Die Forscher Yasemin Acar, Michael Backes, Christian Stransky und Sascha Fahl haben das mit wissenschaftlichen Methoden untersucht und festgestellt, dass Entwickler tatsächlich am liebsten bei Stack Overflow nachsehen, wenn sie auf ein Problem stoßen – und dass auf diesem Weg auch sehr viele Sicherheitslücken Einzug in Android-Apps halten.

Acar und ihre Kollegen untersuchten dabei nicht nur die Vorlieben der Entwickler; sie ließen Probanden auch mit unterschiedlichen Ressourcen Aufgaben lösen und werteten die Qualität der abgelieferten Codes aus. Mit dem Ergebnis, dass die Entwickler, die Stack Overflow nutzten, tatsächlich auch die meisten Sicherheitslücken produzierten. Erstaunlich gute Ergebnisse lieferte die Gruppe mit den Büchern; allerdings nutzten nur wenige Entwickler diese auch freiwillig.

Bessere Doku braucht das Netz

Dabei schieben die Forscher keineswegs den Entwicklern die Verantwortung zu. "Offizielle API-Dokumentation ist sicher, aber schwer zu benutzen. Informellere Dokumentation wie Stack Overflow hingegen ist leichter zugänglich, führt aber oft zu Sicherheitsproblemen" konstatieren sie. Eine der wichtigsten Forderungen der Forscher ist denn auch, dass man Ressourcen entwickeln müsse, die die Nützlichkeit von Foren wie Stack Overflow mit dem Sicherheitsbewusstsein von Büchern und der offiziellen API-Doku kombinieren.

Die Arbeit "You Get Where You're Looking for: The Impact of Information Sources on Code Security" wurde gerade von der NSA-nahen Cyber-Physical Systems Virtual Organization mit dem Preis für das beste wissenschaftliche Cybersecurity Paper ausgezeichnet. (ju)