Application Security Audit SIMSme Business Testreport

Transkript

1 Application Security Audit SIMSme Business Testreport mediatest digital GmbH Goseriede Hannover T +49 (0) F +49 (0) W Einstufung interne Nutzung Datum Kunde Deutsche Post AG Sitz und Registergericht: Hannover HRB USt.-ID Nr. DE Board of Directors: Vertretungsberechtigter Gesellschafter: Sebastian Wolters 2018 mediatest digital GmbH, Revision 1.4.1

2 Inhaltsverzeichnis 1 Übersicht Testergebnis App-Informationen Berechtigungen Zusätzliche Funktionalitäten In-App-Käufe Externe Cloud-Dienste Externe Login-Dienste Social Network Sharing Verwendung Webviews Sicherheitsmatrix Testergebnisse Test Setup Drittanbieter-Module und -Bibliotheken Virenanalyse Berechtigungsanalyse Risikobewertung Datenschutzverstöße Datensicherheitsverstöße AGB und Datenschutzerklärung Verbindungsanalyse Verschlüsselt übertragene Datenfunde Unverschlüsselt übertragene Datenfunde Analyse Serververbindungen Analyse Datenverkehr Auszug Datenübertragungsprotokoll Anhang mediatest digital GmbH Application Security Audit interne Nutzung 2

3 1 Übersicht 1.1 Testergebnis SIMSme Business 2.2 ios App Icon 3x3 cm Ampelwertung Whitelist: nutzbar Whitelist: nutzbar mit Hinweis Blacklist: Nutzung bedenklich, individuelle Freigabe möglich Blacklist: von der Nutzung wird abgeraten Datenschutzverstöße Keine Datenschutzverstöße festgestellt Einstufung unbedenklich Datensicherheitsverstöße Keine Datensicherheitsverstöße festgestellt Einstufung unbedenklich AGB und Datenschutzerklärung Die Prüfung der AGB und der Datenschutzerklärung steht noch aus Einstufung nicht verfügbar SSL Analyse Man-in-the-Middle-Attacke nicht möglich Einstufung unbedenklich Die Applikation SIMSme Business (ios) in der Version 2.2 erzielt eine grüne Wertung und wird als nutzbar (Whitelist) eingestuft. Es wurden keine Datenschutzverstöße festgestellt. Es wurden keine Datensicherheitsverstöße festgestellt. Eine Überprüfung der AGB und Datenschutzerklärung wurde nicht vorgenommen mediatest digital GmbH Application Security Audit interne Nutzung 3

4 1.2 App-Informationen Hersteller Name Betriebssystem DP IT Brief GmbH SIMSme Business ios Version 2.2 Erscheinungsdatum BundleIdentifier releaseba.de.dpag.simsme Benötigte OS-Version ios 9.0 Store-Link Store-Kategorie Beschreibung Soziale Netze SIMSme Business ist der Messenger für Unternehmen entwickelt von der Deutschen Post. Schreiben Sie dank Ende-zu-Ende-Verschlüsselung absolut sicher und beschleunigen Sie die Kommunikation im Team. Statt mit langsamen und unübersichtlichen -Fluten kommunizieren ihre Mitarbeiter zukünftig schnell und direkt egal, ob sie im Büro, im Home Office oder im Außendienst sind. Konfigurierbare Features stellen die Kompatibilität mit Ihren Security- Anforderungen sicher. Jeder Datenstrom fließt dabei über deutsche Server. SIMSme Business ist konform mit deutschen Datenschutzgesetzen und erfüllt die Anforderungen der EU Datenschutz-Grundverordnung. FUNKTIONEN Schneller Austausch im Team Einzel- und Gruppenchats, Kanäle und Verteiler Einfaches Teilen von Inhalten Video- und Audionachrichten, Fotos und Dateien Effizientes Arbeiten mit Kollegen Kommentieren, priorisieren und zeitversetzt versenden Auf allen Geräten verfügbar Ob Computer, Tablet oder Smartphone Immer synchron Chats, Kontakte und Medien synchronisieren in Echtzeit Intuitives Nutzermanagement Komfortable Administration über das Management Cockpit SICHERHEIT und DATENSCHUTZ Erstklassige Ende-zu-Ende-Verschlüsselung der Deutschen Post Server in Deutschland und Bundesdatenschutzkonform Klare Trennung von beruflicher und privater Kommunikation MANAGEMENT COCKPIT Nutzer- und Lizenzverwaltung mit Reporting Dashboard 2018 mediatest digital GmbH Application Security Audit interne Nutzung 4

5 Eigene Kanäle bis Nutzer und verwaltete Gruppen Eigenes App Design mit anpassbaren Farben und Logo Steuerbare Security-Einstellungen z.b. Passwortstärke Laden Sie SIMSme Business jetzt herunter und überzeugen Sie sich selbst! Mehr zu den Vorteilen und Features erfahren Sie unter: SIMSme Business wurde von mediatest digital in Kooperation mit TÜViT mit dem Trusted App -Siegel für extrem sichere Apps ausgezeichnet und wird von der Polizei Niedersachen empfohlen. Durch Ende-zu-Ende- Verschlüsselung kann niemand Ihre Nachrichten mitlesen. Sie haben Fragen, Anregungen oder wollen die App Unternehmen verwenden? Dann schreiben Sie uns unter: HINWEIS FÜR PRIVATE NUTZER: SIMSme Business ist für Unternehmen und Organisationen konzipiert. Als Privatperson nutzen Sie bitte die SIMSme App. 1.3 Berechtigungen Die folgenden Berechtigungen werden während der Nutzung durch die Applikation angefordert und müssen durch den Nutzer bestätigt werden, um die Applikation in vollem Funktionsumfang nutzen zu können. Ortungsdienste Push-Mitteilungen Fotos Kontakte Mikrofon Kamera 1.4 Zusätzliche Funktionalitäten Mobile Applikationen können über Drittanbieter erweiterte Funktionalitäten bieten. Dabei umfasst die Bandbreite neben In-App-Käufen zur Funktionserweiterung oder Entfernung von Werbung auch die externe Speicherung von Nutzerdaten in Cloud-Speicherdiensten, das Teilen von Meldungen über soziale Netzwerke oder die Registrierung eines Nutzeraccounts über ein bereits bestehendes Profil eines sozialen Netzwerks In-App-Käufe In der Applikation sind In-App-Käufe nicht möglich mediatest digital GmbH Application Security Audit interne Nutzung 5

6 1.4.2 Externe Cloud-Dienste Die Applikation ermöglicht das Speichern von Daten über externe Cloud-Dienste. icloud Cloud-Dienst von Apple Inc Externe Login-Dienste Die Applikation ermöglicht keinen verkürzten Registrierungs- und Loginprozess über externe Login-Dienste Social Network Sharing Die App ermöglicht kein Sharing von Inhalten und Nutzerkommentaren über soziale Netzwerke Verwendung Webviews Die Applikation verwendet keine Webviews mit Möglichkeiten, den für den Benutzer vorgesehenen Bereich in der Applikation über externe Links innerhalb des Webviews zu verlassen mediatest digital GmbH Application Security Audit interne Nutzung 6

7 2 Sicherheitsmatrix In der Sicherheitsmatrix wird detailliert aufgeschlüsselt, welche Datenfunde zu welcher Sicherheitseinstufung führen. Dabei wird nach Übertragungsart und Notwendigkeit der Datenübertragung für die Funktionalität der Applikation sortiert. Die Einsortierung der übertragenen Daten wird wie folgt untergliedert. keine Übertragung notwendig, verschlüsselt notwendig, unverschlüsselt nicht notwendig, verschlüsselt nicht notwendig, unverschlüsselt Die Übertragung des Datums gehört zwar zur Funktionalität der Applikation, konnte jedoch in der Datenübertragung nicht nachgewiesen werden. Die Übertragung des Datums gehört zur Kernfunktionalität der Applikation. Die Übertragung erfolgt verschlüsselt. Die Übertragung des Datums gehört zur Kernfunktionalität der Applikation. Die Übertragung erfolgt unverschlüsselt. Die Übertragung des Datums gehört nicht zur Kernfunktionalität der Applikation. Die Übertragung erfolgt verschlüsselt. Die Übertragung des Datums gehört nicht zur Kernfunktionalität der Applikation. Die Übertragung erfolgt unverschlüsselt. Die Kombination aus übertragenem Datum, Notwendigkeit der Übertragung für die Funktionalität der Applikation und der Art der Übertragung resultiert in einer Einstufung. Diese führen in ihrer Gesamtheit zu einer abschließenden Wertung, die wie folgt untergliedert wird. Wertung GRÜN Die Nutzung der Applikation ist im Unternehmensumfeld empfohlen. Wertung GELB Wertung ROT Die Nutzung der Applikation ist im Unternehmensumfeld eingeschränkt empfohlen. Abhängig von unternehmensweit geltenden Sicherheitsvorschriften muss die Nutzung eingeschränkt werden. Die Nutzung der Applikation ist bedenklich, da sensible Daten unverschlüsselt oder an Dritte übertragen werden. Eine Nutzung wird insbesondere im Unternehmensumfeld nicht empfohlen. Wertung SCHWARZ Die Nutzung der Applikation ist sehr bedenklich, da Passwörter, Bankdaten oder sensible Daten unverschlüsselt oder an Dritte übertragen werden. Von der Nutzung wird dringend abgeraten! Kommuniziert die Applikation nur über festgelegte Zertifikate (Certificate Pinning), können auf Basis des Übertragungsverhaltens der Applikation häufig nur eingeschränkte Aussagen über Datenschutz getroffen werden. In diesem Fall wird eine Handlungsempfehlung abgegeben, die auf den im Testlauf aufgezeichneten Verbindungen und den eingebundenen Modulen und Bibliotheken von Drittanbietern beruht mediatest digital GmbH Application Security Audit interne Nutzung 7

8 Keine Übertragungfestgestellt notwendige Übertragung, verschlüsselt notwendige Übertragung, unverschlüsselt nicht notwendige Übertragung, verschlüsselt nicht notwendige Übertragung, unverschlüsselt Virenanalyse AGB und Datenschutz SSL analysierbar? JA NEIN Resultierende Wertung 2018 mediatest digital GmbH Application Security Audit interne Nutzung 8

9 3 Testergebnisse In diesem Kapitel sind die Ergebnisse des Application Security Audits zusammengefasst. Das zugrunde liegende Testverfahren kann in der aktuell gültigen mediatest digital Prüfspezifikation [separate Anlage] nachgelesen werden. Getestet wurde im Testlabor der mediatest digital GmbH. Das Testverfahren beinhaltet keine Aussagen über Funktionalität und Design sowie Performance und Stabilität der getesteten Applikation. Aussagen über Sicherheitslücken in angeschlossenen Backend- Systemen können lediglich in geringem Umfang getroffen werden. Die vollständige technische Dokumentation kann im Kapitel 4 eingesehen werden. Dort finden sich ausführliche Informationen über Datenverbindungen und Datentransfer. 3.1 Test Setup Der Testdurchlauf wurde im Testlabor der mediatest digital GmbH durch einen Application Security Analyst durchgeführt. Getestet wurde auf einem physikalischen Testgerät. Grundsätzlich ist sowohl ein hoher Verbreitungsgrad des Testgerätes ebenso gegeben wie die Verwendung einer aktuellen Version des Betriebssystems. Testdatum Testgerät iphone 6 ( ios 10.2) Testumgebung mediatest digital Testlabor Prüfspezifikation mediatest digital Prüfspezifikation rev Drittanbieter-Module und -Bibliotheken Während des Testlaufs wurde die Applikation hinsichtlich eingebundenen Modulen und Bibliotheken von Drittanbietern untersucht. Diese Module bieten erweiterte Funktionalitäten (z.b. durch die Bereitstellung von Kartenmaterial), erlauben die Auslieferung von Werbung oder erheben Nutzerstatistiken. Die Untersuchung des von der Applikation erzeugten Datenverkehrs während des Testlaufs sowie einer statischen Analyse zeigt die Einbindung folgender externer Dienste. Modul Kategorie Beschreibung Serverstandort Apple Maps Kartendienst Kartendienst von Apple. Unternehmen: Apple Inc. USA icloud Cloud-Dienst Cloud-Dienst zur Speicherung von Daten. Unternehmen: Apple Inc. USA 3.4 Virenanalyse Aufgrund der Dateistruktur einer ios-applikation wurde keine Virenanalyse vorgenommen, da so keine zuverlässigen Ergebnisse garantiert werden können mediatest digital GmbH Application Security Audit interne Nutzung 9

10 3.5 Berechtigungsanalyse Die Berechtigungsanalyse basiert auf einer statischen Analyse während des Testlaufs. Aufgerufene Berechtigungen werden soweit möglich dynamisch durch einen Application Security Analyst verifiziert. Schlägt eine manuelle Verifizierung fehl, wird die Berechtigung als potenziell genutzt eingestuft. Berechtigungen werden in mehrere Schweregrade eingestuft, die sich am Zugriff der Applikation auf Nutzerdaten orientieren: system riskant normal selbst erstellt Höchstes Risiko. Die Applikation muss mit dem identischen Zertifikat signiert sein wie die Applikationen auf Betriebssystemebene. Bei Aufruf der Berechtigung durch die Applikation wird der Nutzer nicht nach seiner Zustimmung gefragt. Hohes Risiko. Die Applikation erhält Zugriff auf Nutzerdaten oder weitreichende Funktionalitäten des Betriebssystems. Bei Aufruf der Berechtigung durch die Applikation wird der Nutzer nach seiner Zustimmung gefragt. Niedriges Risiko. Die Applikation erhält isolierten Zugriff auf Applikationsebene und kann nicht auf Nutzerdaten oder weitreichende Funktionalitäten des Betriebssystems zugreifen. Bei Aufruf der Berechtigung durch die Applikation wird der Nutzer nach seiner Zustimmung gefragt. Durch den Entwickler selbst erstellte Berechtigung. Diese dient der Funktionalität der Applikation und erlaubt keinen Zugriff auf Nutzerdaten oder weitreichende Funktionalitäten des Betriebssystems. Die Applikation fordert die folgenden Berechtigungen an. Berechtigung Beschreibung Einstufung Nutzung Ortungsdaten Die Applikation erhält Zugriff auf die Ortungsdienste des Gerätes riskant Ja Push-Mitteilungen Ermöglicht der Applikation das Senden von Push- Mitteilungen normal Ja Fotos Die Applikation erhält Zugriff auf die Fotoalben des Gerätes riskant Ja Kontakte Die Applikation erhält Zugriff auf die Kontaktdaten des Gerätes riskant Ja Mikrofon Die Applikation erhält Zugriff auf das Mikrofon des Gerätes riskant Ja Kamera Die Applikation erhält Zugriff auf die Kamera des Gerätes riskant Ja 2018 mediatest digital GmbH Application Security Audit interne Nutzung 10

11 Die Berechtigungsanalyse zeigt die Verwendung von 6 Berechtigungen, die zur Verwendung aller Funktionen der Applikation benötigt werden. Die Applikation ruft nur die Berechtigungen ab, die für den Funktionsumfang nötig sind. Die Applikation wird als nicht überprivilegiert eingestuft. 3.6 Risikobewertung Anhand des aufgezeichneten Datenverkehrs während des Testlaufs sowie auf Basis einer statischen Analyse werden Sicherheitslücken und damit potentielle Risiken überprüft, die mit der Nutzung der Applikation einhergehen können. Die Auswertung des Testlaufs erfolgt halb-automatisiert und wird durch einen Application Security Analyst vorgenommen. Im Zuge einer Kernfunktionalitäts- und Plausibilitätsprüfung wurde dabei besonderen Wert auf Datenübermittlungen und Berechtigungen gelegt, die zur Ausführung der primären Funktionen der Applikation nicht unbedingt notwendig sind oder für den Nutzer keinen Mehrwert bieten. Weiterführende Details zu während des Testlaufs festgestellten Datenschutz- und Datensicherheitsverstößen werden im Kapitel 4 in der Datenübertragungsanalyse aufgelistet. Die Handlungsempfehlungen bieten für den Entwickler der Applikation eine erste Hilfestellung, das identifizierte Problem zu beheben Datenschutzverstöße In diesem Unterkapitel werden die Datenschutzverstöße aufgelistet und eine Handlungsempfehlung abgegeben. Als Datenschutzverstoß wird die Übertragung eines personenbezogenen 1 oder anderweitig sensiblen Datums an Dritte definiert. Keine Datenschutzverstöße festgestellt. Handlungsempfehlung Keine Handlung nötig Datensicherheitsverstöße In diesem Unterkapitel werden die Datensicherheitsverstöße aufgelistet und eine Handlungsempfehlung abgegeben. Als Datensicherheitsverstoß wird die Übertragung von Daten über eine unverschlüsselte Verbindung definiert. Keine Datensicherheitsverstöße festgestellt Handlungsempfehlung Keine Handlung nötig HINWEIS: Man-in-the-Middle-Attacke nicht erfolgreich Handlungsempfehlung Keine Handlung nötig 3.7 AGB und Datenschutzerklärung Es wurde keine Prüfung der AGB und Datenschutzerklärung vorgenommen. 1 Personenbezogene Daten werden definiert nach 3 Abs. 1 BDSG mediatest digital GmbH Application Security Audit interne Nutzung 11

12 4 Verbindungsanalyse In diesem Kapitel werden ausführliche Informationen über die während des Testlaufs aufgezeichneten Datenübertragungen bereitgestellt. 4.1 Verschlüsselt übertragene Datenfunde Während des Testlaufs konnte die Übertragung folgender Daten über verschlüsselte Verbindungen nachvollzogen werden. Keine Funde Unverschlüsselt übertragene Datenfunde Während des Testlaufs konnte keine Übertragung Daten über unverschlüsselte Verbindungen nachvollzogen werden. Hinweis: Grundsätzlich wird empfohlen, die Kommunikation zwischen Applikation und Servern ausschließlich über verschlüsselte Verbindungen vorzunehmen! 4.3 Analyse Serververbindungen In diesem Unterkapitel werden die Server aufgelistet, zu denen die Applikation während des Testlaufs Verbindungen aufgebaut hat. Nr. Servername IP-Adresse Port Land Betreiber V1 *.docwallet-de.de DE Deutsche Post AG V2 *.ls.apple.com US Apple Maps V3 *.ls.apple.com US Apple Maps V4 *.ls.apple.com US Apple Maps V5 *.ls.apple.com US Apple Maps V6 *.ls.apple.com US Apple Maps V7 *.ls.apple.com US Apple Maps V8 *.ls.apple.com US Apple Maps V9 *.ls.apple.com US Apple Maps V10 *.ls.apple.com US Apple Maps V11 *.ls.apple.com US Apple Maps V12 *.ls.apple.com US Apple Maps V13 a deploy.static.akamaitechnologies.com US Apple V14 a US Apple 2018 mediatest digital GmbH Application Security Audit interne Nutzung 12

13 V15 V deploy.static.akamaitechnologies.com a deploy.static.akamaitechnologies.com a deploy.static.akamaitechnologies.com NL Apple NL Apple V17 a248.e.akamai.net EU Apple Maps V18 a248.e.akamai.net EU Apple Maps V19 courier.push.apple.com US Apple Push V20 courier.push.apple.com US Apple Push V21 courier.push.apple.com US Apple Push V22 courier.push.apple.com US Apple Push V23 courier.push.apple.com US Apple Push V24 courier.push.apple.com US Apple Push V25 app.adjust.com DE Adjust V US Digicert V27 ituneslogin.net US itunes 4.4 Analyse Datenverkehr In diesem Unterkapitel werden die Datenpakete aufgeschlüsselt, die während des Testlaufes von der Applikation an Server und umgekehrt versendet wurden. Der Wert der Übertragung wird ebenfalls in der Sicherheitsmatrix dargestellt. Fund Richtung Krypto IP Port Dienstanbieter Nötig Wert Keine Funde Auszug Datenübertragungsprotokoll P1 Keine Funde mediatest digital GmbH Application Security Audit interne Nutzung 13

14 5 Anhang Kein Anhang vorhanden mediatest digital GmbH Application Security Audit interne Nutzung 14