June 16, 2020

Sicherheitslücken in der Corona-Warn-App oder: Nächster Proof of Concept

Man könnte es einen weiteren Proof of Concept nennen. Aber aufgrund der Bedeutung dieser App steckt dieses Mal noch mehr Relevanz darin: Wir haben diese Woche die Corona-Warn-App auf Sicherheitslücken getestet - und welche gefunden. Diese Woche wurde die Corona-Warn-App, welche von SAP und der Telekom gemeinsam entwickelt wurde, vorgestellt. Da der Quellcode schon länger öffentlich ist, haben wir diesen mit unserer CodeShield-Sicherheitslücken-Analyse untersucht. Ergebnis: Wir konnten zwei Sicherheitslücken finden, davon eine, die von unserer Analyse als besonders relevant eingestuft wurden.

Was haben wir mit dieser Info gemacht? - Öffentliche Meldung

Wir haben die Info noch vor Veröffentlichung der App an SAP weitergeleitet, um dem Unternehmen die Möglichkeit zu geben, zeitnah zu reagieren. Das Unternehmen folgte unserer Analyse und war so in der Lage, die Sicherheitslücken auszubessern. SAP hat die betroffene Bibliothek umgehend ersetzt. Auf der SAP Product Security Response Seite hat uns SAP entsprechend genannt. Wir sind froh, dass wir mit CodeShield einen Beitrag für die Sicherheit der App leisten konnten.

Illustration Corona-App

Wie kommt es zu solchen Sicherheitslücken?

Es ist heutzutage üblich, dass Software aus Open-Source-Komponenten zusammengesetzt wird. Nicht selten kommt es vor, dass Programme bis zu 90% aus solchen Open-Source Bausteinen besteht. Allerdings sind Open-Source-Komponenten auch immer anfällig für Sicherheitslücken, insbesondere wenn nicht die aktuellsten Versionen verwendet werden. Für Entwickler ist es aber schwierig, hier den Überblick zu behalten.

Wie funktioniert die CodeShield Sicherheitslücken-Analyse?

Wir minimieren Entwicklern den Aufwand, um Sicherheitslücken in genutzten Open-Source-Bibliotheken zu finden und zu beheben. Mit unserer „Fingerprinting”-Technologie, die aus unserer Forschung entstanden ist, wird der gesamte Byte-Code von Open-Source-Komponenten auf Sicherheitslücken analysiert. Dieses Verfahren erhöht die Analysequalität im Vergleich zu gängigen Analysemethoden, bei denen nur Metadaten durchsucht werden, massiv und findet auch versteckte Schwachstellen.

CodeShield Scan der Corona-Warn-App

Was bedeutet der Test für CodeShield?

Nach langer Entwicklung stehen wir mit CodeShield kurz vor dem Marktstart und führen mit einigen Unternehmen Tests durch. Der aktuelle Fall der Corona-Warn-App und das positive Feedback von SAP sind dabei für uns ein weiterer Teil des Proof of Concepts. Möchtest Du CodeShield auch schon sehen oder testen? Schreib uns einfach eine Nachricht!