7.1 App-Markets

Um Apps von Drittanbietern auf einem mobilen Endgerät zu installieren, haben die Hersteller im Ökosystem Vertriebswege vorgesehen, die sogenannten App-Markets. Dabei handelt es sich um zentrale Verteilungspunkte, von denen Nutzer Apps beziehen können. In diesem Kapitel werden die korrespondierenden Markets der Ökosysteme vorgestellt. Dabei wird insbesondere auf die folgenden Aspekte und Fragestellungen eingegangen (Stand Juli 2013):

  • AUTOMATISCHE ANALYSE VON APPS Welche Mechanismen setzen die Markets ein, um automatisiert Schwachstellen und bösartige Apps zu identifizieren?
  • BEDINGUNG FÜR DIE VERÖFFENTLICHUNG VON APPS Welche Voraussetzungen müssen Entwickler von Apps erfüllen, um auf den App-Markets Apps zum Download anbieten zu können?
  • BESCHREIBUNGSPROFIL Wie werden die Apps auf den Webseiten eines App-Markets dargestellt? Finden sich hier auch Informationen, die einen Rückschluss auf Sicherheitseigenschaften der App zulassen?
  • MELDESSYSTEM Wie können entdeckte Schwachstellen von Apps dem Market bzw. dem Anbieter gemeldet werden?

Android

  • AUTOMATISCHE ANALYSE VON APPS Google testet Apps, die von einem Entwickler zur Veröffentlichung auf Googles App-Market, dem Google Play Store, eingereicht wurden, auf schadhaftes Verhalten. Dieser Dienst wird Bouncer genannt und führt sowohl statische als auch dynamische Analysen durch [15].

    Im Jahre 2012 ergaben Untersuchungen, dass unter Einsatz eines Android-Emulators dynamische Analysen durchführt werden, die insgesamt fünf Minuten dauern.1 Wird eine App als bösartig angesehen, so wird diese für die weitere manuelle Inspektion markiert [22].

    Android unterstützt zudem die Installation von alternativen App-Markets, sodass Apps von anderen Quellen als dem Google Play Store installiert werden können. Beispiele für alternative Märkte sind f-droid2 und slideme3. Um diese Möglichkeit nutzen zu können, muss ein Nutzer die entsprechende Option in den Systemeinstellungen des mobilen Gerätes aktivieren. Welche Sicherheitsmechanismen in diesen App-Markets eingesetzt werden und ob diese mit dem Google-Bouncer vergleichbar sind, lässt sich pauschal nicht beantworten und muss fallweise untersucht werden.

    Auch erlaubt Android sogenanntes Sideloading. Darunter versteht man das Kopieren von Daten wie z.B. Apps von einem Desktop-PC oder Notebook via USB-Kabel. Auch diese Option muss ein Nutzer in den Systemeinstellungen des Gerätes aktivieren. Auf diese Weise kann ein Nutzer Apps beliebigen Ursprungs auf dem Endgerät installieren.

  • BEDINGUNGEN FÜR DIE VERÖFFENTLICHUNG VON APPS Um Apps zu publizieren, muss ein Entwickler einen Publisher Account bei Google eröffnen. Dies kostet 25 USD, welche unter Verwendung des Google Wallet bezahlt werden müssen (hierfür wird für die Registrierung eine Kreditkarte benötigt). In manchen Ländern ist es nicht möglich, einen Google Developer Account zu eröffnen.4) Um kostenpflichtige Produkte über Google Play zu vertreiben, benötigen Entwickler ferner einen Google Wallet Merchant Account.
  • BESCHREIBUNGSPROFIL VON APPS Jede App des Google Play Store wird auf einer eigenen Seite beschrieben. Dies umfasst die Absätze
    • Beschreibung: Beschreibung der Inhalte und Funktion einer App
    • Reviews: Meinungen von Benutzern samt grafischer Übersicht mit einer Punkteskala von 1 – 5 (höher ist besser)
    • What’s New: Beschreibung neuer oder überarbeiteter Funktionalitäten für neue Versionen der App
    • Zusätzliche Informationen: umfasst weitere Eigenschaften der App: Updated (Datum des letzten Updates der App), Content Rating (muss vom Entwickler eingestuft werden und gibt eine Art moralischen Kodex wieder,5) Size (Gesamtgröße der App), Current Version (aktuelle Versionsnummer), Requires Android (benötigte Android-Version), Required Permissions (benötigte Berechtigungen), Flag as Inappropriate (ungeeignete App melden), Contact Developer (Webseite des Entwicklers, E-Mail-Adresse des Entwicklers, Datenschutzrichtlinie) sowie Installs (Anzahl der Installationen).

Die Kategorie Reviews kann sicherheitsrelevante Informationen zu einer App enthalten, z.B. in Form von Warnungen anderer Nutzer. Eine explizite Bewertung der Sicherheitsaspekte der Apps, etwa in Form einer eigenen Kategorie, findet nicht statt. Dies gilt sowohl für die Webseite des Google Play Store als auch für die Google Play Store App, welche die Installation von Apps direkt vom Gerät aus erlaubt.

  • MELDESYSTEM FÜR SICHERHEITSVERLETZUNGEN Die Google Play Store App, welche auf dem Endgerät installiert ist, bietet die Möglichkeit, als ungeeignet empfundene Apps zu melden [13]. Auf den Developer-Seiten findet sich eine Definition von Malware sowie eine E-Mail-Adresse, an die verdächtige Apps gemeldet werden können [1].

BlackBerry OS

    • AUTOMATISCHE ANALYSE VON APPS Bevor eine Applikation in der BlackBerry App-World, dem App-Market von BlackBerry, zum Download für andere Nutzer veröffentlicht wird, überprüft BlackBerry diese Applikation. Über den Review-Prozess selbst und die durchgeführten Tests, ob die Richtlinien [7] eingehalten werden, gibt es jedoch keine weiterführenden Informationen.

      Wie Android unterstützt auch BlackBerry OS durch die Installation zusätzlicher Software den Zugriff auf alternative App-Markets und Sideloading. Wird der alternative App-Market als App realisiert und ist nicht über die BlackBerry App-World verfügbar, muss diese über Sideloading installiert werden. Dazu muss der Benutzer jedoch eine entsprechende Option in den Systemeinstellungen von BlackBerry OS aktivieren. Eine pauschale Aussage über automatisierte Sicherheitstests dieser Drittmärkte kann jedoch nicht getroffen werden.

  • BEDINGUNGEN FÜR DIE VERÖFFENTLICHUNG VON APPS Bevor ein Entwickler Apps in der BlackBerry App-World veröffentlichen kann, muss er sich kostenlos bei BlackBerry als Entwickler (Vendor) registrieren lassen. Für das Einstellen von Apps und die Veröffentlichung in der BlackBerry App-World fallen ebenfalls keine Gebühren an. Vor Freischaltung einer App wird überprüft, ob diese die von BlackBerry angegebenen Richtlinien erfüllt [7]. Sowohl Screenshots, die als Vorschau in der BlackBerry App-World angezeigt werden, als auch das Icon der eingereichten Applikation müssen dabei für alle Altersklassen freigegeben sein.
  • BESCHREIBUNGSPROFIL VON APPS In der BlackBerry App-World werden zu jeder App allgemeine Informationen wie Screenshots und eine allgemeine Beschreibung der Applikation selbst bereitgestellt, die der Entwickler beim Hochladen der App in die BlackBerry App-World bereitstellt. Darüber hinaus findet der Anwender Informationen zur Versionsnummer der App, deren Größe und Release-Datum.

    Zusätzlich gibt es eine Bewertung der Applikation zwischen einem und fünf Sternen, die sich aus dem Durchschnitt des von anderen Anwendern abgegebenen Feedbacks errechnet. Eine dezidierte Sicherheitsbewertung der App bietet BlackBerry App-World nicht an. Zusätzlich zu diesem Bewertungssystem haben Anwender die Möglichkeit, einen Kommentar in Textform zu hinterlassen.

    Die einzige Möglichkeit, Informationen zu Sicherheitsschwachstellen zu bekommen, bietet sich durch vorher abgegebene Kommentare anderer Nutzer. Der Anwender hat jedoch keine Möglichkeit, explizit nach Informationen zu den Sicherheitsaspekten einzelner Apps zu suchen.

  • MELDESYSTEM FÜR SICHERHEITSVERLETZUNGEN In der BlackBerry App-World existiert kein eingebautes Meldesystem für Sicherheitsverletzungen.

iOS

  • AUTOMATISCHE ANALYSE VON APPS Apple prüft alle Apps vor einer Veröffentlichung im eigenen App-Market, dem Apple App Store. Über den genauen Ablauf der Reviews gibt es sehr wenig Informationen. Man weiß allerdings, dass Apples Review-Prozess auf zwei Methoden setzt [19]. Einerseits wird jede App manuell von einem Prüfer getestet, der dabei darauf achtet, dass z.B. die App fehlerfrei läuft und dass die App nicht gegen die von Apple aufgestellten Richtlinien für Apps [4] verstößt. Andererseits setzt Apple auf statische Analyse der Apps, um z.B. die Nutzung von privaten Schnittstellen zu entdecken, die von Entwicklern nicht eingesetzt werden dürfen.
  • BEDINGUNGEN FÜR DIE VERÖFFENTLICHUNG VON APPS Um Apps im App Store veröffentlichen zu können, muss der Entwickler einen Apple Developer Account bei Apple erstellen und sich beim iOS Developer Program anmelden, welches 99 USD pro Jahr kostet. Des Weiteren müssen alle Apps den von Apple aufgestellten Richtlinien [4] entsprechen. Apple gibt dort z.B. vor, dass Apps keine anderen Apps installieren dürfen oder dass App-Icons und Screenshots eine Altersfreigabe von 4+ aufweisen müssen.
  • BESCHREIBUNGSPROFIL VON APPS Einkäufe im Apple App Store erfolgen über die App Store App auf dem Telefon oder die Software iTunes. Innerhalb des App Store sind die Informationen über Apps auf einer Seite in iTunes zusammengefasst. Auf einen Blick werden dort einige Screenshots, eine kurze Beschreibung und die Release Notes der letzten Version angezeigt. Des Weiteren kann man dort Informationen zum Entwickler, die aktuelle Versionsnummer, das Datum der letzten Aktualisierung, die Größe der Anwendung, die durchschnittliche Bewertung, Kompatibilitätsinformationen, unterstützte Sprachen und Altersfreigabe einsehen.

    Über einen Reiter lassen sich Benutzerbewertungen und Rezensionen einblenden. Dort findet sich neben den Bewertungen und einer kleinen Statistik über diese Bewertungen ein Link zum Support des App-Entwicklers. Es werden zunächst nur die Bewertungen für die aktuelle Version angezeigt, allerdings können auch die Bewertungen für alle Versionen eingesehen werden. Eine dezidierte Sicherheitsbewertung der App ist im App Store nicht verfügbar.

  • MELDESYSTEM FÜR SICHERHEITSVERLETZUNGEN Im Apple App Store existiert kein eingebautes Meldesystem für Sicherheitsverletzungen.

Windows Phone

  • AUTOMATISCHE ANALYSE VON APPS Hat ein Entwickler eine App zur Publikation im Windows Phone Store, dem App-Market von Microsoft, eingereicht, werden eine automatisierte und eine manuelle Prüfung durchgeführt. In der automatisierten Phase wird z.B. kontrolliert, ob alle benötigten Berechtigungen vorhanden sind und ob für alle verwendeten Daten (z.B. das App-Icon) korrespondierende Ressourcen vorhanden sind.

    Die manuellen Tests zielen auf die Überprüfungen des Verhaltens der App. Bevor eine App durch Microsoft getestet wird, kann sie durch den Entwickler mit dem Store Test Kit vorbereitend überprüft werden.6 Die Beschreibung dieser Kontrollen durch das Store Test Kit weisen keine sicherheitspezifischen Aspekte auf, obwohl diese laut Microsoft durchgeführt werden.7 Daher liegt es nahe, dass das Store Test Kit keine oder nicht alle Sicherheitstests implementiert, die im Falle der Überprüfung einer zu veröffentlichen App von Microsoft tatsächlich durchgeführt werden.

  • BEDINGUNGEN FÜR DIE VERÖFFENTLICHUNG VON APPS Um Apps über den Windows Phone Store zu veröffentlichen, müssen sich Entwickler zunächst registrieren. Die Kosten hierfür belaufen sich auf einmalig 19 USD. Die Registrierung umfasst die Angabe der Adresse sowie valide Kreditkartendaten des Entwicklers. Hier kann ferner zwischen zwei Account-Typen gewählt werden, für einzelne Entwickler (Individual) oder für Unternehmen (Company). Für Letztere ist der Validierungsprozess aufwendiger, da hier unternehmenseigene Zertifikate für das Ausrollen eigener Apps ausgestellt werden.
  • BESCHREIBUNGSPROFIL VON APPS Konkret umfasst das Profil einer App auf der Webseite des Windows Phone Store eine kurze Beschreibung, Hersteller (Publisher), Größe der App, letzte Aktualisierung der App, Versionsnummer, Kompatibilität (Windows Phone 7, 8), Kritiken von Nutzern, die benötigten Ressourcen der App (mit einem Link unterhalb zu einer allgemeinen Erläuterungen zu Capabilities), unterstützte Sprachen, ein Link zur manuellen Installation sowie ein Link zur Datenschutzrichtlinie des App-Anbieters.

    Im Falle von Nutzerkritiken handelt es sich um Textkommentare, welche sicherheitsrelevante Informationen zu Apps enthalten können. Zusätzlich gibt es eine Bewertung der Applikation zwischen einem und fünf Sternen, die sich aus dem Durchschnitt des von anderen Anwendern abgegebenen Feedbacks errechnet. Dezidierte Bewertungen der Apps nach Sicherheitsaspekten erfolgen ferner weder auf der Webseite des Windows Phone Store noch im Rahmen der internen Store-Anwendungen, über die eine Nutzerin direkt auf dem Endgerät Apps auswählen und installieren kann.

    • Anstößige Inhalte
    • Ausbeutung von Kindern
    • Malware
    • Datenschutzbedenken
    • Irreführende Anwendung
    • Schwache Leistung

    Ferner weist ein Eintrag eines offiziellen Microsoft-Blogs auf die Möglichkeit hin, Schadsoftware per E-Mail unter reportapp@microsoft.com zu melden.8

  1. Inwieweit der Google Play Store die automatisierten Sicherheitstests weiterentwickelt hat, ist nicht bekannt. []
  2. Für weitere Informationen siehe https://f-droid.org/ (Letzter Zugriff 29.07.2014). []
  3. Für weitere Informationen siehe http://slideme.org/ (Letzter Zugriff 29.07.2014). []
  4. Für weitere Informationen siehe https://support.google.com/googleplay/android-developer/answer/136758 (Letzter Zugriff 29.07.2014 []
  5. Für weitere Informationen siehe https://support.google.com/googleplay/android-developer/answer/188189?hl=en (Letzter Zugriff 29.07.2014 []
  6. http://msdn.microsoft.com/en-us/library/windowsphone/develop/hh394032%28v=vs.105%29.aspx (Letzter Zugriff 29.07.2014) []
  7. http://msdn.microsoft.com/en-us/library/windowsphone/develop/ff402533%28v=vs.105%29.aspx#BKMK_Appsafeguards (Letzter Zugriff 29.07.2014) []
  8. http://blogs.windows.com/windows_phone/b/windowsphone/archive/2013/08/29/how-windows-phone-guards-against-malware.aspx (Letzter Zugriff 29.07.2014) []