Anwendungssicherheit
So riskant sind In-App-Browser
Foto: Piotr Velixar - shutterstock.com
"In-App-Browser werden von Apps verwendet, wenn Nutzer innerhalb der Anwendung auf einen Link zu einer normalen Webseite klickt", erklärt Peter Lowe, leitender Security-Forscher beim Sicherheitsanbieter DNSFilter. "Anstatt die Seite im Standardbrowser des Geräts zu öffnen, wird sie in einer eingebetteten Version geöffnet, die innerhalb der App selbst läuft." Solche In-App-Browser können erhebliche Sicherheitsrisiken für Unternehmen darstellen. Dabei stellt ihre Tendenz, Daten zu sammeln, das Hauptproblem dar.
Eine aktuelle Studie hat untersucht, inwiefern In-App-Browser bei Facebook, Instagram und TikTok ein Datenschutzrisiko für iOS-Nutzer darstellen. Forscher Felix Krause beschreibt im Ergebnis detailliert, wie beliebte In-App-Browser JavaScript-Code in Websites von Drittanbietern injizieren. Das ermöglicht den Host-Apps wiederum, bestimmte Nutzer-Interaktionen zu tracken, darunter Formulareingaben sowie Klicks auf Bilder und Links.
In der Folge erklärten Meta und TikTok schnell, ihre Aktivitäten seien harmlos. Dennoch bieten solche Daten, wenn sie in falsche Hände geraten, besorgniserregendes Potenzial, missbraucht zu werden. Eine neue Qualität gewinnt die Angelegenheit dann, wenn das In-App-Browsing auf Arbeitsgeräten erfolgt, die mit Unternehmensnetzwerken verbunden sind und Geschäftsinformationen enthalten. Deswegen sollten sich IT-Sicherheitsteams in Unternehmen der Bedrohungen bewusst sein, die In-App-Browser für Unternehmen darstellen können und in der Lage sein, entsprechende Abhilfemaßnahmen zu ergreifen.
In-App-Browser: Sicherheitsrisiken
Dass die Kontrolle über In-App-Browser bei den Anwendungen selbst liege, könne bei Code-Injektion und Daten-Tracking zu Problemen führen, meint Lowe: "Einige sehr beliebte Apps - darunter TikTok und Instagram - scheinen das zu nutzen, um Nutzer zu tracken. Und zwar bis zu dem Punkt, an dem einzelne Tastenanschläge überwacht und Tracking-Code zu jeder Seite hinzugefügt wird. Damit werden die Richtlinien der App-Stores ausgehebelt, die so etwas verhindern sollen. Dieses Schlupfloch wird durch die Art und Weise geschaffen, wie die Apps und Richtlinien gestaltet sind."
Wenn es um die Sicherheitsrisiken von In-App-Browsern geht, sei der Umgang mit sensiblen (Nutzer-)Daten einer der wichtigsten Aspekte, die Unternehmen berücksichtigen müssten, appelliert Jens Monrad, Director und Head of Mandiant Intelligence EMEA. "Wir nutzen unsere Smartphones für alles, auch für geschäftliche Zwecke. Es gibt also viele Möglichkeiten, um kritische Informationen zu kompromittieren oder zu leaken - absichtlich oder unabsichtlich."
Ein weiteres Risiko, das Unternehmen laut Monrad in Betracht ziehen müssten: App-Nutzer bringen fast nie die Zeit oder Geduld mit, sich alle Informationen zu Nutzerrechten und -einwilligungen durchzulesen. "Die können über 30 Seiten lang sein und sind zwar größtenteils harmlos. Dennoch stimmen User hier möglicherweise ohne es zu wissen, Prozessen wie der Nachverfolgung ihrer Anmeldedaten oder ihres Standorts zu."
Einmal gesammelt, seien solche Informationen für Cyberkriminelle Gold wert, erklärt Dmitry Bestuzhev, Chef-Bedrohungsspezialist bei BlackBerry: "Sie ermöglichen es, Web-Sitzungen mit allen Parametern wie der Browser-Version, lokal verfügbaren Sprachen, Cookies und anderen benutzerspezifischen Informationen zu klonen. Auf diese Weise können Cyberkriminelle die Anti-Betrugsmaßnahmen von Finanzunternehmen umgehen, um ihre wiederkehrenden Kunden zu identifizieren."
In-App-Browser könnten jedoch nicht nur dazu genutzt werden, Anmeldeinformationen abzugreifen, sondern auch um Kryptowährungen zu schürfen, merkt der Experte an: "Die meisten modernen Browser ermöglichen es, Kryptowährungen auch dann zu schürfen, wenn sie vermeintlich geschlossen sind."
In-App-Browser entschärfen: So geht's
Die Gefahren, die von In-App-Browsern ausgehen, zu entschärfen, ist nicht immer einfach - dennoch können Unternehmen Maßnahmen ergreifen, um die Risiken zu mindern.
"Es ist möglich, eine App so zu konfigurieren, dass beim Klick auf einen Link ein externer Browser gestartet wird. Wenn diese Option fehlt, kann der Benutzer selbst die Seite in einem externen Browser öffnen", meint Lowe und empfiehlt, Anwendungen grundsätzlich entsprechend zu konfigurieren, wo immer dies möglich ist. Zudem sei es sinnvoll, die Nutzer der Anwendung darüber zu informieren, damit sie sich ihrer Aktivitäten bewusster würden.
Risikobewusste Unternehmen könnten den Zugriff auf bestimmte Apps auf Firmengeräten auch vollständig verhindern, indem sie MDM-Lösungen einsetzen, merkt Monrad an: "Auf diese Weise können Unternehmen Einschränkungen auf den Devices durchsetzen und gleichzeitig deren Integrität sicherstellen. So lassen sich effektiv sichere Container innerhalb eines Smartphones erstellen, in denen Unternehmensprozesse ablaufen und der Zugriff auf bestimmte Anwendungen und Software-Updates genauer kontrolliert werden können."
Für Bestuzhev besteht der erste Schritt zur Risikominderung darin, Richtlinien zu definieren, die die Verwendung von Browsern zulassen oder verbieten. Das könne über Black-/Whitelisting, Default-Deny-Technologien Active-Directory-Richtlinien am Endpunkt erfolgen: "Wenn das Netzwerk auf Microsoft-Technologien aufbaut, gibt es eine granulare Richtlinie, die von AD auf Endpunkten für Edge bereitgestellt wird. Edge ist ein moderner, Chromium-basierter Browser, der so konfiguriert werden kann, dass er In-App-Plugins verweigert. Dabei ist es auch wichtig, sich auf ein gutes Endpoint-Security-Produkt zu verlassen."
Neuere Versionen von iOS und Android böten ebenfalls granulare Sicherheitskontrollen, die es dem Endbenutzer ermöglichten, Entscheidungen über den Zugriff auf die Zwischenablagefunktion in Apps, die genaue Freigabe von Standortdaten und anderes zu treffen, meint Monrad: "Darüber hinaus können die Nutzer auch über Apps informiert werden, die versuchen, auf Kameras oder Mikrofone zuzugreifen. Auch wenn das Risiko dadurch nicht vollständig gemindert werden kann, ist es meiner Meinung nach ein Schritt in die richtige Richtung, den Unternehmen in Betracht ziehen sollten."
In diesem Zusammenhang sind laut Lowe auch Nutzeraufklärung und -Awareness wichtig: "Glücklicherweise ist die allgemeine Awareness inzwischen gewachsen, so dass wir in Zukunft auf einige Änderungen an den Mechanismen hinter In-App-Browsern hoffen können. Es wird definitiv daran gearbeitet, App-Entwickler daran zu hindern, diese Funktion zu missbrauchen und wir können darauf hoffen, dass es irgendwann konkrete Lösungen geben wird." (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.