Marktplätze für Applikationen sind eine tolle Sache. Nicht nur können Entwickler ihre Anwendungen zentral anbieten und bewerben, auch Themen wie Updates lassen sich gut in den Griff kriegen. Das klappt allerdings nur, wenn die Nutzer Vertrauen haben und ihre Software aus den zentralen App-Sammlungen beziehen. Vertrauen nicht nur in die Plattform, sondern auch in das Unternehmen hinter dem jeweiligen Shop.

Wie positiv sich ein App-Store-Modell samt Prüfung aller hochgeladenen Apps auf die Malware-Verteilung auswirkt, lässt sich gut an Apples App-Store beobachten: Für iOS-Geräte, die ohne Jailbreak nur mit Anwendungen aus dem Apple-Store versorgt werden können, gibt es quasi keine Schadsoftware.

Auch Microsoft bietet inzwischen mit dem Windows Store eine zentrale Anlaufstelle für Apps. Natürlich achtet auch Microsoft darauf, das alles glatt geht. Egal, wie viele Apps Nutzer aus dem Windows Store installieren, kaufen oder wieder entfernen. Dazu setzen wir auf drei verschiedene Ansätze:

  • Auch wir analysieren wir Programm, bevor wir es im Marktplatz veröffentlichen.
  • Windows 8 bringt eine ganze Reihe von Sicherheitsfunktionen mit, die bösartige Applikationen einbremsen sollten.
  • Und unsere Entwickler bitten wir um folgendes: Programmiert vertrauenswürdige Apps.

Entwickler sollten einige grundlegende Punkte beachten. Die erste wichtige Annahme ist, dass unser Sicherheitsmodell für Apps einem Gefängnis, nicht aber einer Festung gleicht. Apps können also über das Netzwerk oder durch benachbarte Anwendungen attackiert werden. Das liegt auch daran, dass sie zahlreiche Informationen speichern, die für Angreifer interessant sind.

Dazu benötigen die Apps Rechte. Wir gewähren den Apps nur jeweils die Rechte, die Entwickler explizit für notwendig erklären. Dazu gehören beispielsweise der Zugriff aufs Netzwerk oder das Internet, die Erlaubnis zum Lesen oder Erstellen von SMS oder der Zugriff auf gespeicherte Dateien. Beanspruchen Entwickler mehr Rechte und Funktionen als notwendig, erhöhen sie das Risiko, dass die App Schaden anrichten kann.

Jede deklarierte Fähigkeit wird im Marktplatzeintrag zur jeweiligen Anwendung genau angezeigt. Potentielle Nutzer der Applikation sehen also genau, was die Applikation für Funktionen erhält.

Unverzichtbar für die Entwicklung sicherer Apps ist ein sicherer Programmierstil. Wie bei allen anderen Anwendungen auch – sei es für Windows, mobile Systeme oder Applikationen auf Webplattformen –, können Fehler im Programmablauf dafür sorgen, dass eigentlich gutartige Applikationen von Angreifern missbraucht werden. Da die kompletten Ausführungen hierzu den Umfang dieses Blogeintrags sprengen würden, liefere ich lieber eine Reihe an nützlichen Links zu unseren Webseiten, die sich mit diesem Thema beschäftigen:

Sicherheitsverfahren für das Erstellen von Windows Store-Apps

Developing secure apps

(Video) Best practices for writing safe and secure apps using HTML5 (Apps für die Modern UI)

Machen es sich Entwickler und Betreiber von App-Stores zu einfach, setzen sie das Vertrauen ihrer Nutzer aufs Spiel. Unsere Ansprüche an Anwendungen sind unserer Ansicht nach fair und für jeden Entwickler, der keine Hintergedanken hegt, mit geringem Aufwand zu erfüllen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.