Application Security Audit SIMSme Business Testreport
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Application Security Audit SIMSme Business Testreport mediaTest digital GmbH Goseriede 4 30159 Hannover T| +49 (0) 511-353994-22 F| +49 (0) 511-353994-12 W | www.mediatest-digital.com Einstufung interne Nutzung Datum 24.04.2018 Kunde Deutsche Post AG Sitz und Registergericht: Hannover | HRB 208916 USt.-ID Nr. DE284516422 Board of Directors: Vertretungsberechtigter Gesellschafter: Sebastian Wolters © 2018 mediaTest digital GmbH, Revision 1.4.1
Inhaltsverzeichnis
1 Übersicht........................................................................................................................................3
1.1 Testergebnis..................................................................................................................................................3
1.2 App-Informationen........................................................................................................................................4
1.3 Berechtigungen.............................................................................................................................................5
1.4 Zusätzliche Funktionalitäten........................................................................................................................5
1.4.1 In-App-Käufe.........................................................................................................................................5
1.4.2 Externe Cloud-Dienste..........................................................................................................................6
1.4.3 Externe Login-Dienste..........................................................................................................................6
1.4.4 Social Network Sharing........................................................................................................................6
1.4.5 Verwendung Webviews.........................................................................................................................6
2 Sicherheitsmatrix...........................................................................................................................7
3 Testergebnisse...............................................................................................................................9
3.1 Test Setup......................................................................................................................................................9
3.2 Drittanbieter-Module und -Bibliotheken......................................................................................................9
3.4 Virenanalyse..................................................................................................................................................9
3.5 Berechtigungsanalyse.................................................................................................................................10
3.6 Risikobewertung.........................................................................................................................................11
3.6.1 Datenschutzverstöße..........................................................................................................................11
3.6.2 Datensicherheitsverstöße...................................................................................................................11
3.7 AGB und Datenschutzerklärung.................................................................................................................11
4 Verbindungsanalyse.....................................................................................................................12
4.1 Verschlüsselt übertragene Datenfunde.....................................................................................................12
4.2 Unverschlüsselt übertragene Datenfunde.................................................................................................12
4.3 Analyse Serververbindungen......................................................................................................................12
4.4 Analyse Datenverkehr.................................................................................................................................13
4.5 Auszug Datenübertragungsprotokoll.........................................................................................................13
.........................................................................................................................................................14
5 Anhang..........................................................................................................................................14
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 21 Übersicht
1.1 Testergebnis
SIMSme Business 2.2 iOS
Ampelwertung
→ Whitelist: nutzbar
App Icon
Whitelist: nutzbar mit Hinweis
3x3 cm
Blacklist: Nutzung bedenklich, individuelle Freigabe möglich
Blacklist: von der Nutzung wird abgeraten
Datenschutzverstöße
• Keine Datenschutzverstöße festgestellt
Einstufung unbedenklich
Datensicherheitsverstöße
• Keine Datensicherheitsverstöße festgestellt
Einstufung unbedenklich
AGB und Datenschutzerklärung
• Die Prüfung der AGB und der Datenschutzerklärung steht noch aus
Einstufung nicht verfügbar
SSL Analyse
• Man-in-the-Middle-Attacke nicht möglich
Einstufung unbedenklich
Die Applikation SIMSme Business (iOS) in der Version 2.2 erzielt eine grüne Wertung und wird als nutzbar
(Whitelist) eingestuft. Es wurden keine Datenschutzverstöße festgestellt. Es wurden keine
Datensicherheitsverstöße festgestellt. Eine Überprüfung der AGB und Datenschutzerklärung wurde nicht
vorgenommen.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 31.2 App-Informationen
• Hersteller DP IT Brief GmbH
• Name SIMSme Business
• Betriebssystem iOS
• Version 2.2
• Erscheinungsdatum 16.4.2018
• BundleIdentifier releaseba.de.dpag.simsme
• Benötigte OS-Version iOS 9.0
• Store-Link https://itunes.apple.com/de/app/id1125705539?mt=8
• Store-Kategorie Soziale Netze
• Beschreibung SIMSme Business ist der Messenger für Unternehmen – entwickelt von der
Deutschen Post. Schreiben Sie dank Ende-zu-Ende-Verschlüsselung absolut
sicher und beschleunigen Sie die Kommunikation im Team.
Statt mit langsamen und unübersichtlichen Email-Fluten kommunizieren
ihre Mitarbeiter zukünftig schnell und direkt – egal, ob sie im Büro, im Home
Office oder im Außendienst sind.
Konfigurierbare Features stellen die Kompatibilität mit Ihren Security-
Anforderungen sicher. Jeder Datenstrom fließt dabei über deutsche Server.
SIMSme Business ist konform mit deutschen Datenschutzgesetzen und
erfüllt die Anforderungen der EU Datenschutz-Grundverordnung.
FUNKTIONEN
• Schneller Austausch im Team – Einzel- und Gruppenchats, Kanäle und
Verteiler
• Einfaches Teilen von Inhalten – Video- und Audionachrichten, Fotos und
Dateien
• Effizientes Arbeiten mit Kollegen – Kommentieren, priorisieren und
zeitversetzt versenden
• Auf allen Geräten verfügbar – Ob Computer, Tablet oder Smartphone
• Immer synchron – Chats, Kontakte und Medien synchronisieren in Echtzeit
• Intuitives Nutzermanagement – Komfortable Administration über das
Management Cockpit
SICHERHEIT und DATENSCHUTZ
• Erstklassige Ende-zu-Ende-Verschlüsselung der Deutschen Post
• Server in Deutschland und Bundesdatenschutzkonform
• Klare Trennung von beruflicher und privater Kommunikation
MANAGEMENT COCKPIT
• Nutzer- und Lizenzverwaltung mit Reporting Dashboard
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 4• Eigene Kanäle bis 1.000 Nutzer und verwaltete Gruppen
• Eigenes App Design mit anpassbaren Farben und Logo
• Steuerbare Security-Einstellungen z.B. Passwortstärke
Laden Sie SIMSme Business jetzt herunter und überzeugen Sie sich selbst!
Mehr zu den Vorteilen und Features erfahren Sie unter:
www.sims.me/business
SIMSme Business wurde von mediaTest digital in Kooperation mit TÜViT mit
dem „Trusted App“-Siegel für extrem sichere Apps ausgezeichnet und wird
von der Polizei Niedersachen empfohlen. Durch Ende-zu-Ende-
Verschlüsselung kann niemand Ihre Nachrichten mitlesen.
Sie haben Fragen, Anregungen oder wollen die App Unternehmen
verwenden? Dann schreiben Sie uns unter: business@sims.me
HINWEIS FÜR PRIVATE NUTZER: SIMSme Business ist für Unternehmen und
Organisationen konzipiert. Als Privatperson nutzen Sie bitte die SIMSme App.
1.3 Berechtigungen
Die folgenden Berechtigungen werden während der Nutzung durch die Applikation angefordert und müssen
durch den Nutzer bestätigt werden, um die Applikation in vollem Funktionsumfang nutzen zu können.
• Ortungsdienste
• Push-Mitteilungen
• Fotos
• Kontakte
• Mikrofon
• Kamera
1.4 Zusätzliche Funktionalitäten
Mobile Applikationen können über Drittanbieter erweiterte Funktionalitäten bieten. Dabei umfasst die
Bandbreite neben In-App-Käufen zur Funktionserweiterung oder Entfernung von Werbung auch die externe
Speicherung von Nutzerdaten in Cloud-Speicherdiensten, das Teilen von Meldungen über soziale Netzwerke
oder die Registrierung eines Nutzeraccounts über ein bereits bestehendes Profil eines sozialen Netzwerks.
1.4.1 In-App-Käufe
In der Applikation sind In-App-Käufe nicht möglich.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 51.4.2 Externe Cloud-Dienste
Die Applikation ermöglicht das Speichern von Daten über externe Cloud-Dienste.
• iCloud Cloud-Dienst von Apple Inc.
1.4.3 Externe Login-Dienste
Die Applikation ermöglicht keinen verkürzten Registrierungs- und Loginprozess über externe Login-Dienste.
1.4.4 Social Network Sharing
Die App ermöglicht kein Sharing von Inhalten und Nutzerkommentaren über soziale Netzwerke.
1.4.5 Verwendung Webviews
Die Applikation verwendet keine Webviews mit Möglichkeiten, den für den Benutzer vorgesehenen Bereich in
der Applikation über externe Links innerhalb des Webviews zu verlassen.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 62 Sicherheitsmatrix
In der Sicherheitsmatrix wird detailliert aufgeschlüsselt, welche Datenfunde zu welcher
Sicherheitseinstufung führen. Dabei wird nach Übertragungsart und Notwendigkeit der Datenübertragung für
die Funktionalität der Applikation sortiert. Die Einsortierung der übertragenen Daten wird wie folgt
untergliedert.
Die Übertragung des Datums gehört zwar zur Funktionalität der
• keine Übertragung Applikation, konnte jedoch in der Datenübertragung nicht
nachgewiesen werden.
Die Übertragung des Datums gehört zur Kernfunktionalität der
• notwendig, verschlüsselt
Applikation. Die Übertragung erfolgt verschlüsselt.
Die Übertragung des Datums gehört zur Kernfunktionalität der
• notwendig, unverschlüsselt
Applikation. Die Übertragung erfolgt unverschlüsselt.
Die Übertragung des Datums gehört nicht zur Kernfunktionalität der
• nicht notwendig, verschlüsselt Applikation. Die Übertragung erfolgt verschlüsselt
.
• nicht notwendig, Die Übertragung des Datums gehört nicht zur Kernfunktionalität der
unverschlüsselt Applikation. Die Übertragung erfolgt unverschlüsselt.
Die Kombination aus übertragenem Datum, Notwendigkeit der Übertragung für die Funktionalität der
Applikation und der Art der Übertragung resultiert in einer Einstufung. Diese führen in ihrer Gesamtheit zu
einer abschließenden Wertung, die wie folgt untergliedert wird.
Wertung GRÜN Die Nutzung der Applikation ist im Unternehmensumfeld empfohlen.
Die Nutzung der Applikation ist im Unternehmensumfeld
Wertung GELB eingeschränkt empfohlen. Abhängig von unternehmensweit geltenden
Sicherheitsvorschriften muss die Nutzung eingeschränkt werden.
Die Nutzung der Applikation ist bedenklich, da sensible Daten
Wertung ROT unverschlüsselt oder an Dritte übertragen werden. Eine Nutzung wird
insbesondere im Unternehmensumfeld nicht empfohlen.
Die Nutzung der Applikation ist sehr bedenklich, da Passwörter,
Wertung SCHWARZ Bankdaten oder sensible Daten unverschlüsselt oder an Dritte
übertragen werden. Von der Nutzung wird dringend abgeraten!
Kommuniziert die Applikation nur über festgelegte Zertifikate (Certificate Pinning), können auf Basis des
Übertragungsverhaltens der Applikation häufig nur eingeschränkte Aussagen über Datenschutz getroffen
werden. In diesem Fall wird eine Handlungsempfehlung abgegeben, die auf den im Testlauf aufgezeichneten
Verbindungen und den eingebundenen Modulen und Bibliotheken von Drittanbietern beruht.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 7Virenanalyse
SSL analysierbar?
AGB und Datenschutz
Resultierende Wertung
√
Keine Übertragungfestgestellt
JA
notwendige Übertragung,
verschlüsselt
notwendige Übertragung,
unverschlüsselt
NEIN
nicht notwendige Übertragung,
√
verschlüsselt
nicht notwendige Übertragung,
√
√
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 8
unverschlüsselt3 Testergebnisse
In diesem Kapitel sind die Ergebnisse des Application Security Audits zusammengefasst. Das zugrunde
liegende Testverfahren kann in der aktuell gültigen mediaTest digital Prüfspezifikation [separate Anlage]
nachgelesen werden. Getestet wurde im Testlabor der mediaTest digital GmbH.
Das Testverfahren beinhaltet keine Aussagen über Funktionalität und Design sowie Performance und
Stabilität der getesteten Applikation. Aussagen über Sicherheitslücken in angeschlossenen Backend-
Systemen können lediglich in geringem Umfang getroffen werden.
Die vollständige technische Dokumentation kann im Kapitel 4 eingesehen werden. Dort finden sich
ausführliche Informationen über Datenverbindungen und Datentransfer.
3.1 Test Setup
Der Testdurchlauf wurde im Testlabor der mediaTest digital GmbH durch einen Application Security Analyst
durchgeführt. Getestet wurde auf einem physikalischen Testgerät. Grundsätzlich ist sowohl ein hoher
Verbreitungsgrad des Testgerätes ebenso gegeben wie die Verwendung einer aktuellen Version des
Betriebssystems.
• Testdatum 18.04.2018
• Testgerät iphone 6 ( iOS 10.2)
• Testumgebung mediaTest digital Testlabor
• Prüfspezifikation mediaTest digital Prüfspezifikation rev. 1.3
3.2 Drittanbieter-Module und -Bibliotheken
Während des Testlaufs wurde die Applikation hinsichtlich eingebundenen Modulen und Bibliotheken von
Drittanbietern untersucht. Diese Module bieten erweiterte Funktionalitäten (z.B. durch die Bereitstellung von
Kartenmaterial), erlauben die Auslieferung von Werbung oder erheben Nutzerstatistiken.
Die Untersuchung des von der Applikation erzeugten Datenverkehrs während des Testlaufs sowie einer
statischen Analyse zeigt die Einbindung folgender externer Dienste.
Modul Kategorie Beschreibung Serverstandort
Kartendienst von Apple. Unternehmen: Apple
• Apple Maps Kartendienst USA
Inc.
Cloud-Dienst zur Speicherung von Daten.
• iCloud Cloud-Dienst USA
Unternehmen: Apple Inc.
3.4 Virenanalyse
Aufgrund der Dateistruktur einer iOS-Applikation wurde keine Virenanalyse vorgenommen, da so keine
zuverlässigen Ergebnisse garantiert werden können.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 93.5 Berechtigungsanalyse
Die Berechtigungsanalyse basiert auf einer statischen Analyse während des Testlaufs. Aufgerufene
Berechtigungen werden – soweit möglich – dynamisch durch einen Application Security Analyst verifiziert.
Schlägt eine manuelle Verifizierung fehl, wird die Berechtigung als „potenziell genutzt“ eingestuft.
Berechtigungen werden in mehrere Schweregrade eingestuft, die sich am Zugriff der Applikation auf
Nutzerdaten orientieren:
Höchstes Risiko. Die Applikation muss mit dem identischen Zertifikat signiert sein wie
• system die Applikationen auf Betriebssystemebene. Bei Aufruf der Berechtigung durch die
Applikation wird der Nutzer nicht nach seiner Zustimmung gefragt.
Hohes Risiko. Die Applikation erhält Zugriff auf Nutzerdaten oder weitreichende
• riskant Funktionalitäten des Betriebssystems. Bei Aufruf der Berechtigung durch die Applikation
wird der Nutzer nach seiner Zustimmung gefragt.
Niedriges Risiko. Die Applikation erhält isolierten Zugriff auf Applikationsebene und kann
nicht auf Nutzerdaten oder weitreichende Funktionalitäten des Betriebssystems
• normal
zugreifen. Bei Aufruf der Berechtigung durch die Applikation wird der Nutzer nach seiner
Zustimmung gefragt.
Durch den Entwickler selbst erstellte Berechtigung. Diese dient der Funktionalität der
• selbst erstellt Applikation und erlaubt keinen Zugriff auf Nutzerdaten oder weitreichende
Funktionalitäten des Betriebssystems.
Die Applikation fordert die folgenden Berechtigungen an.
Berechtigung Beschreibung Einstufung Nutzung
Die Applikation erhält Zugriff auf die
Ortungsdaten • riskant Ja
Ortungsdienste des Gerätes
Ermöglicht der Applikation das Senden von Push-
Push-Mitteilungen • normal Ja
Mitteilungen
Die Applikation erhält Zugriff auf die Fotoalben
Fotos • riskant Ja
des Gerätes
Die Applikation erhält Zugriff auf die
Kontakte • riskant Ja
Kontaktdaten des Gerätes
Die Applikation erhält Zugriff auf das Mikrofon
Mikrofon • riskant Ja
des Gerätes
Die Applikation erhält Zugriff auf die Kamera des
Kamera • riskant Ja
Gerätes
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 10Die Berechtigungsanalyse zeigt die Verwendung von 6 Berechtigungen, die zur Verwendung aller Funktionen
der Applikation benötigt werden. Die Applikation ruft nur die Berechtigungen ab, die für den Funktionsumfang
nötig sind. Die Applikation wird als nicht überprivilegiert eingestuft.
3.6 Risikobewertung
Anhand des aufgezeichneten Datenverkehrs während des Testlaufs sowie auf Basis einer statischen Analyse
werden Sicherheitslücken und damit potentielle Risiken überprüft, die mit der Nutzung der Applikation
einhergehen können.
Die Auswertung des Testlaufs erfolgt halb-automatisiert und wird durch einen Application Security Analyst
vorgenommen. Im Zuge einer Kernfunktionalitäts- und Plausibilitätsprüfung wurde dabei besonderen Wert
auf Datenübermittlungen und Berechtigungen gelegt, die zur Ausführung der primären Funktionen der
Applikation nicht unbedingt notwendig sind oder für den Nutzer keinen Mehrwert bieten.
Weiterführende Details zu während des Testlaufs festgestellten Datenschutz- und Datensicherheitsverstößen
werden im Kapitel 4 in der Datenübertragungsanalyse aufgelistet. Die Handlungsempfehlungen bieten für
den Entwickler der Applikation eine erste Hilfestellung, das identifizierte Problem zu beheben.
3.6.1 Datenschutzverstöße
In diesem Unterkapitel werden die Datenschutzverstöße aufgelistet und eine Handlungsempfehlung
abgegeben. Als Datenschutzverstoß wird die Übertragung eines personenbezogenen 1 oder anderweitig
sensiblen Datums an Dritte definiert.
Keine Datenschutzverstöße festgestellt.
Handlungsempfehlung Keine Handlung nötig
3.6.2 Datensicherheitsverstöße
In diesem Unterkapitel werden die Datensicherheitsverstöße aufgelistet und eine Handlungsempfehlung
abgegeben. Als Datensicherheitsverstoß wird die Übertragung von Daten über eine unverschlüsselte
Verbindung definiert.
Keine Datensicherheitsverstöße festgestellt
Handlungsempfehlung Keine Handlung nötig
HINWEIS: Man-in-the-Middle-Attacke nicht erfolgreich
Handlungsempfehlung Keine Handlung nötig
3.7 AGB und Datenschutzerklärung
Es wurde keine Prüfung der AGB und Datenschutzerklärung vorgenommen.
1 Personenbezogene Daten werden definiert nach §3 Abs. 1 BDSG.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 114 Verbindungsanalyse
In diesem Kapitel werden ausführliche Informationen über die während des Testlaufs aufgezeichneten
Datenübertragungen bereitgestellt.
4.1 Verschlüsselt übertragene Datenfunde
Während des Testlaufs konnte die Übertragung folgender Daten über verschlüsselte Verbindungen
nachvollzogen werden.
Keine Funde -
4.2 Unverschlüsselt übertragene Datenfunde
Während des Testlaufs konnte keine Übertragung Daten über unverschlüsselte Verbindungen nachvollzogen
werden.
Hinweis: Grundsätzlich wird empfohlen, die Kommunikation zwischen Applikation und Servern ausschließlich
über verschlüsselte Verbindungen vorzunehmen!
4.3 Analyse Serververbindungen
In diesem Unterkapitel werden die Server aufgelistet, zu denen die Applikation während des Testlaufs
Verbindungen aufgebaut hat.
Nr. Servername IP-Adresse Port Land Betreiber
Deutsche Post
V1 *.docwallet-de.de 195.21.38.51 443 DE
AG
V2 *.ls.apple.com 17.167.195.10 443 US Apple Maps
V3 *.ls.apple.com 17.130.137.79 443 US Apple Maps
V4 *.ls.apple.com 17.167.192.176 443 US Apple Maps
V5 *.ls.apple.com 17.130.137.73 443 US Apple Maps
V6 *.ls.apple.com 17.167.192.126 443 US Apple Maps
V7 *.ls.apple.com 17.130.137.75 443 US Apple Maps
V8 *.ls.apple.com 17.130.137.77 443 US Apple Maps
V9 *.ls.apple.com 17.167.192.244 443 US Apple Maps
V10 *.ls.apple.com 17.167.193.162 443 US Apple Maps
V11 *.ls.apple.com 17.167.195.12 443 US Apple Maps
V12 *.ls.apple.com 17.167.195.9 443 US Apple Maps
a104-81-32-
V13 104.81.32.175 443 US Apple
175.deploy.static.akamaitechnologies.com
V14 a104-81-33- 104.81.33.197 443 US Apple
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 12197.deploy.static.akamaitechnologies.com
a104-87-196-
V15 104.87.196.27 443 NL Apple
27.deploy.static.akamaitechnologies.com
a104-87-216-
V16 104.87.216.231 443 NL Apple
231.deploy.static.akamaitechnologies.com
V17 a248.e.akamai.net 2.22.61.10 80 EU Apple Maps
V18 a248.e.akamai.net 2.22.61.81 80 EU Apple Maps
V19 courier.push.apple.com 17.252.76.22 443 US Apple Push
V20 courier.push.apple.com 17.252.44.28 443 US Apple Push
V21 courier.push.apple.com 17.252.44.24 443 US Apple Push
V22 courier.push.apple.com 17.252.44.30 443 US Apple Push
V23 courier.push.apple.com 17.252.76.29 443 US Apple Push
V24 courier.push.apple.com 17.252.44.27 443 US Apple Push
V25 app.adjust.com 178.162.216.180 443 DE Adjust
V26 www.digicert.com 93.184.220.29 80 US Digicert
V27 ituneslogin.net 17.172.224.35 80 US iTunes
4.4 Analyse Datenverkehr
In diesem Unterkapitel werden die Datenpakete aufgeschlüsselt, die während des Testlaufes von der
Applikation an Server und umgekehrt versendet wurden. Der Wert der Übertragung wird ebenfalls in der
Sicherheitsmatrix dargestellt.
Fund Richtung Krypto IP Port Dienstanbieter Nötig Wert
Keine Funde - - - - - -
4.5 Auszug Datenübertragungsprotokoll
P1 Keine Funde - - -
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 135 Anhang
Kein Anhang vorhanden.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 14Application Security Audit SIMSme Business Testreport mediaTest digital GmbH Goseriede 4 30159 Hannover T| +49 (0) 511-353994-22 F| +49 (0) 511-353994-12 W | www.mediatest-digital.com Einstufung interne Nutzung Datum 24.04.2018 Kunde Deutsche Post AG Sitz und Registergericht: Hannover | HRB 208916 USt.-ID Nr. DE284516422 Board of Directors: Vertretungsberechtigter Gesellschafter: Sebastian Wolters © 2018 mediaTest digital GmbH, Revision 1.4.1
Inhaltsverzeichnis
1 Übersicht........................................................................................................................................3
1.1 Testergebnis..................................................................................................................................................3
1.2 App-Informationen........................................................................................................................................4
1.3 Berechtigungen.............................................................................................................................................5
1.4 Zusätzliche Funktionalitäten........................................................................................................................5
1.4.1 In-App-Käufe.........................................................................................................................................5
1.4.2 Externe Cloud-Dienste..........................................................................................................................6
1.4.3 Externe Login-Dienste..........................................................................................................................6
1.4.4 Social Network Sharing........................................................................................................................6
1.4.5 Verwendung Webviews.........................................................................................................................6
2 Sicherheitsmatrix...........................................................................................................................7
3 Testergebnisse...............................................................................................................................9
3.1 Test Setup......................................................................................................................................................9
3.2 Drittanbieter-Module und -Bibliotheken......................................................................................................9
3.4 Virenanalyse................................................................................................................................................10
3.5 Berechtigungsanalyse.................................................................................................................................10
3.6 Risikobewertung.........................................................................................................................................11
3.6.1 Datenschutzverstöße..........................................................................................................................11
3.6.2 Datensicherheitsverstöße...................................................................................................................12
3.7 AGB und Datenschutzerklärung.................................................................................................................12
4 Verbindungsanalyse.....................................................................................................................13
4.1 Verschlüsselt übertragene Datenfunde.....................................................................................................13
4.2 Unverschlüsselt übertragene Datenfunde.................................................................................................13
4.3 Analyse Serververbindungen......................................................................................................................13
4.4 Analyse Datenverkehr.................................................................................................................................13
4.5 Auszug Datenübertragungsprotokoll.........................................................................................................14
.........................................................................................................................................................14
5 Anhang..........................................................................................................................................14
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 21 Übersicht
1.1 Testergebnis
SIMSme Business 2.02.000.20771 Android
Ampelwertung
→ Whitelist: nutzbar
App Icon
Whitelist: nutzbar mit Hinweis
3x3 cm
Blacklist: Nutzung bedenklich, individuelle Freigabe möglich
Blacklist: von der Nutzung wird abgeraten
Datenschutzverstöße
• Keine Datenschutzverstöße festgestellt
Einstufung unbedenklich
Datensicherheitsverstöße
• Keine Datensicherheitsverstöße festgestellt
Einstufung unbedenklich
AGB und Datenschutzerklärung
• Die Prüfung der AGB und der Datenschutzerklärung steht noch aus
Einstufung nicht verfügbar
SSL Analyse
• Man-in-the-Middle-Attacke nicht möglich
Einstufung unbedenklich
Die Applikation SIMSme Business (iOS) in der Version 2.2 erzielt eine grüne Wertung und wird als nutzbar
(Whitelist) eingestuft. Es wurden keine Datenschutzverstöße festgestellt. Es wurden keine
Datensicherheitsverstöße festgestellt. Eine Überprüfung der AGB und Datenschutzerklärung wurde nicht
vorgenommen.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 31.2 App-Informationen
• Hersteller DP IT Brief GmbH
• Name SIMSme Business
• Betriebssystem Android
• Version 2.02.000.20771
• Erscheinungsdatum 16.4.2018
• BundleIdentifier business.de.dpag.simsme
• Benötigte OS-Version Android
• Store-Link https://play.google.com/store/apps/details?id=business.de.dpag.simsme&hl=de+
• Store-Kategorie Soziale Netze
• Beschreibung SIMSme Business ist der Messenger für Unternehmen – entwickelt von der
Deutschen Post. Schreiben Sie dank Ende-zu-Ende-Verschlüsselung absolut
sicher und beschleunigen Sie die Kommunikation im Team.
Statt mit langsamen und unübersichtlichen Email-Fluten kommunizieren
ihre Mitarbeiter zukünftig schnell und direkt – egal, ob sie im Büro, im Home
Office oder im Außendienst sind.
Konfigurierbare Features stellen die Kompatibilität mit Ihren Security-
Anforderungen sicher. Jeder Datenstrom fließt dabei über deutsche Server.
SIMSme Business ist konform mit deutschen Datenschutzgesetzen und
erfüllt die Anforderungen der EU Datenschutz-Grundverordnung.
FUNKTIONEN
• Schneller Austausch im Team – Einzel- und Gruppenchats, Kanäle und
Verteiler
• Einfaches Teilen von Inhalten – Video- und Audionachrichten, Fotos und
Dateien
• Effizientes Arbeiten mit Kollegen – Kommentieren, priorisieren und
zeitversetzt versenden
• Auf allen Geräten verfügbar – Ob Computer, Tablet oder Smartphone
• Immer synchron – Chats, Kontakte und Medien synchronisieren in Echtzeit
• Intuitives Nutzermanagement – Komfortable Administration über das
Management Cockpit
SICHERHEIT und DATENSCHUTZ
• Erstklassige Ende-zu-Ende-Verschlüsselung der Deutschen Post
• Server in Deutschland und Bundesdatenschutzkonform
• Klare Trennung von beruflicher und privater Kommunikation
MANAGEMENT COCKPIT
• Nutzer- und Lizenzverwaltung mit Reporting Dashboard
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 4• Eigene Kanäle bis 1.000 Nutzer und verwaltete Gruppen
• Eigenes App Design mit anpassbaren Farben und Logo
• Steuerbare Security-Einstellungen z.B. Passwortstärke
Laden Sie SIMSme Business jetzt herunter und überzeugen Sie sich selbst!
Mehr zu den Vorteilen und Features erfahren Sie unter:
www.sims.me/business
SIMSme Business wurde von mediaTest digital in Kooperation mit TÜViT mit
dem „Trusted App“-Siegel für extrem sichere Apps ausgezeichnet und wird
von der Polizei Niedersachen empfohlen. Durch Ende-zu-Ende-
Verschlüsselung kann niemand Ihre Nachrichten mitlesen.
Sie haben Fragen, Anregungen oder wollen die App Unternehmen
verwenden? Dann schreiben Sie uns unter: business@sims.me
HINWEIS FÜR PRIVATE NUTZER: SIMSme Business ist für Unternehmen und
Organisationen konzipiert. Als Privatperson nutzen Sie bitte die SIMSme App.
1.3 Berechtigungen
Die folgenden Berechtigungen werden während der Nutzung durch die Applikation angefordert und müssen
durch den Nutzer bestätigt werden, um die Applikation in vollem Funktionsumfang nutzen zu können.
• Ortungsdienste
• Push-Mitteilungen
• Fotos
• Kontakte
• Mikrofon
• Kamera
1.4 Zusätzliche Funktionalitäten
Mobile Applikationen können über Drittanbieter erweiterte Funktionalitäten bieten. Dabei umfasst die
Bandbreite neben In-App-Käufen zur Funktionserweiterung oder Entfernung von Werbung auch die externe
Speicherung von Nutzerdaten in Cloud-Speicherdiensten, das Teilen von Meldungen über soziale Netzwerke
oder die Registrierung eines Nutzeraccounts über ein bereits bestehendes Profil eines sozialen Netzwerks.
1.4.1 In-App-Käufe
In der Applikation sind In-App-Käufe nicht möglich.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 51.4.2 Externe Cloud-Dienste
Die Applikation ermöglicht das Speichern von Daten über externe Cloud-Dienste.
• Google Cloud Cloud-Dienst von Google Inc.
1.4.3 Externe Login-Dienste
Die Applikation ermöglicht keinen verkürzten Registrierungs- und Loginprozess über externe Login-Dienste.
1.4.4 Social Network Sharing
Die App ermöglicht kein Sharing von Inhalten und Nutzerkommentaren über soziale Netzwerke.
1.4.5 Verwendung Webviews
Die Applikation verwendet keine Webviews mit Möglichkeiten, den für den Benutzer vorgesehenen Bereich in
der Applikation über externe Links innerhalb des Webviews zu verlassen.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 62 Sicherheitsmatrix
In der Sicherheitsmatrix wird detailliert aufgeschlüsselt, welche Datenfunde zu welcher
Sicherheitseinstufung führen. Dabei wird nach Übertragungsart und Notwendigkeit der Datenübertragung für
die Funktionalität der Applikation sortiert. Die Einsortierung der übertragenen Daten wird wie folgt
untergliedert.
Die Übertragung des Datums gehört zwar zur Funktionalität der
• keine Übertragung Applikation, konnte jedoch in der Datenübertragung nicht
nachgewiesen werden.
Die Übertragung des Datums gehört zur Kernfunktionalität der
• notwendig, verschlüsselt
Applikation. Die Übertragung erfolgt verschlüsselt.
Die Übertragung des Datums gehört zur Kernfunktionalität der
• notwendig, unverschlüsselt
Applikation. Die Übertragung erfolgt unverschlüsselt.
Die Übertragung des Datums gehört nicht zur Kernfunktionalität der
• nicht notwendig, verschlüsselt Applikation. Die Übertragung erfolgt verschlüsselt
.
• nicht notwendig, Die Übertragung des Datums gehört nicht zur Kernfunktionalität der
unverschlüsselt Applikation. Die Übertragung erfolgt unverschlüsselt.
Die Kombination aus übertragenem Datum, Notwendigkeit der Übertragung für die Funktionalität der
Applikation und der Art der Übertragung resultiert in einer Einstufung. Diese führen in ihrer Gesamtheit zu
einer abschließenden Wertung, die wie folgt untergliedert wird.
Wertung GRÜN Die Nutzung der Applikation ist im Unternehmensumfeld empfohlen.
Die Nutzung der Applikation ist im Unternehmensumfeld
Wertung GELB eingeschränkt empfohlen. Abhängig von unternehmensweit geltenden
Sicherheitsvorschriften muss die Nutzung eingeschränkt werden.
Die Nutzung der Applikation ist bedenklich, da sensible Daten
Wertung ROT unverschlüsselt oder an Dritte übertragen werden. Eine Nutzung wird
insbesondere im Unternehmensumfeld nicht empfohlen.
Die Nutzung der Applikation ist sehr bedenklich, da Passwörter,
Wertung SCHWARZ Bankdaten oder sensible Daten unverschlüsselt oder an Dritte
übertragen werden. Von der Nutzung wird dringend abgeraten!
Kommuniziert die Applikation nur über festgelegte Zertifikate (Certificate Pinning), können auf Basis des
Übertragungsverhaltens der Applikation häufig nur eingeschränkte Aussagen über Datenschutz getroffen
werden. In diesem Fall wird eine Handlungsempfehlung abgegeben, die auf den im Testlauf aufgezeichneten
Verbindungen und den eingebundenen Modulen und Bibliotheken von Drittanbietern beruht.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 7Virenanalyse
SSL analysierbar?
AGB und Datenschutz
Resultierende Wertung
√
Keine Übertragungfestgestellt
JA
notwendige Übertragung,
verschlüsselt
notwendige Übertragung,
unverschlüsselt
NEIN
nicht notwendige Übertragung,
√
verschlüsselt
nicht notwendige Übertragung,
√
√
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 8
unverschlüsselt3 Testergebnisse
In diesem Kapitel sind die Ergebnisse des Application Security Audits zusammengefasst. Das zugrunde
liegende Testverfahren kann in der aktuell gültigen mediaTest digital Prüfspezifikation [separate Anlage]
nachgelesen werden. Getestet wurde im Testlabor der mediaTest digital GmbH.
Das Testverfahren beinhaltet keine Aussagen über Funktionalität und Design sowie Performance und
Stabilität der getesteten Applikation. Aussagen über Sicherheitslücken in angeschlossenen Backend-
Systemen können lediglich in geringem Umfang getroffen werden.
Die vollständige technische Dokumentation kann im Kapitel 4 eingesehen werden. Dort finden sich
ausführliche Informationen über Datenverbindungen und Datentransfer.
3.1 Test Setup
Der Testdurchlauf wurde im Testlabor der mediaTest digital GmbH durch einen Application Security Analyst
durchgeführt. Getestet wurde auf einem physikalischen Testgerät. Grundsätzlich ist sowohl ein hoher
Verbreitungsgrad des Testgerätes ebenso gegeben wie die Verwendung einer aktuellen Version des
Betriebssystems.
• Testdatum 18.04.2018
• Testgerät Samsung A5 ( Android 7.0)
• Testumgebung mediaTest digital Testlabor
• Prüfspezifikation mediaTest digital Prüfspezifikation rev. 1.3
3.2 Drittanbieter-Module und -Bibliotheken
Während des Testlaufs wurde die Applikation hinsichtlich eingebundenen Modulen und Bibliotheken von
Drittanbietern untersucht. Diese Module bieten erweiterte Funktionalitäten (z.B. durch die Bereitstellung von
Kartenmaterial), erlauben die Auslieferung von Werbung oder erheben Nutzerstatistiken.
Die Untersuchung des von der Applikation erzeugten Datenverkehrs während des Testlaufs sowie einer
statischen Analyse zeigt die Einbindung folgender externer Dienste.
Modul Kategorie Beschreibung Serverstandort
Kartendienst von Google. Unternehmen:
• Google Maps Kartendienst USA
Google Inc.
Cloud-Dienst zur Speicherung von Daten.
• Google Drive Cloud-Dienst USA
Unternehmen: Google Inc.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 93.4 Virenanalyse
Während der Virenanalyse über die virustotal API durchläuft die Applikationsdatei über 50 Virenscanner. So
kann eine je nach Ergebnis gewichtete Aussage über eine potenzielle Bedrohung durch Viren oder Trojaner
getroffen werden.
• Dateiname business.de.dpag.simsme.apk
• SHA256 Hashwert 53f80b5283328fa39c7d42e992cb2ee29c989d1521a58147f9c4c9407d2a820c
• Virenscan-Ergebnis Keine Funde
3.5 Berechtigungsanalyse
Die Berechtigungsanalyse basiert auf einer statischen Analyse während des Testlaufs. Aufgerufene
Berechtigungen werden – soweit möglich – dynamisch durch einen Application Security Analyst verifiziert.
Schlägt eine manuelle Verifizierung fehl, wird die Berechtigung als „potenziell genutzt“ eingestuft.
Berechtigungen werden in mehrere Schweregrade eingestuft, die sich am Zugriff der Applikation auf
Nutzerdaten orientieren:
Höchstes Risiko. Die Applikation muss mit dem identischen Zertifikat signiert sein wie
• system die Applikationen auf Betriebssystemebene. Bei Aufruf der Berechtigung durch die
Applikation wird der Nutzer nicht nach seiner Zustimmung gefragt.
Hohes Risiko. Die Applikation erhält Zugriff auf Nutzerdaten oder weitreichende
• riskant Funktionalitäten des Betriebssystems. Bei Aufruf der Berechtigung durch die Applikation
wird der Nutzer nach seiner Zustimmung gefragt.
Niedriges Risiko. Die Applikation erhält isolierten Zugriff auf Applikationsebene und kann
nicht auf Nutzerdaten oder weitreichende Funktionalitäten des Betriebssystems
• normal
zugreifen. Bei Aufruf der Berechtigung durch die Applikation wird der Nutzer nach seiner
Zustimmung gefragt.
Durch den Entwickler selbst erstellte Berechtigung. Diese dient der Funktionalität der
• selbst erstellt Applikation und erlaubt keinen Zugriff auf Nutzerdaten oder weitreichende
Funktionalitäten des Betriebssystems.
Die Applikation fordert die folgenden Berechtigungen an.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 10Berechtigung Beschreibung Einstufung Nutzung
Die Applikation erhält Zugriff auf die
Ortungsdaten • riskant Ja
Ortungsdienste des Gerätes
Ermöglicht der Applikation das Senden von Push-
Push-Mitteilungen • normal Ja
Mitteilungen
Die Applikation erhält Zugriff auf die Fotoalben
Fotos • riskant Ja
des Gerätes
Die Applikation erhält Zugriff auf die
Kontakte • riskant Ja
Kontaktdaten des Gerätes
Die Applikation erhält Zugriff auf das Mikrofon
Mikrofon • riskant Ja
des Gerätes
Die Applikation erhält Zugriff auf die Kamera des
Kamera • riskant Ja
Gerätes
Die Berechtigungsanalyse zeigt die Verwendung von 6 Berechtigungen, die zur Verwendung aller Funktionen
der Applikation benötigt werden. Die Applikation ruft nur die Berechtigungen ab, die für den Funktionsumfang
nötig sind. Die Applikation wird als nicht überprivilegiert eingestuft.
3.6 Risikobewertung
Anhand des aufgezeichneten Datenverkehrs während des Testlaufs sowie auf Basis einer statischen Analyse
werden Sicherheitslücken und damit potentielle Risiken überprüft, die mit der Nutzung der Applikation
einhergehen können.
Die Auswertung des Testlaufs erfolgt halb-automatisiert und wird durch einen Application Security Analyst
vorgenommen. Im Zuge einer Kernfunktionalitäts- und Plausibilitätsprüfung wurde dabei besonderen Wert
auf Datenübermittlungen und Berechtigungen gelegt, die zur Ausführung der primären Funktionen der
Applikation nicht unbedingt notwendig sind oder für den Nutzer keinen Mehrwert bieten.
Weiterführende Details zu während des Testlaufs festgestellten Datenschutz- und Datensicherheitsverstößen
werden im Kapitel 4 in der Datenübertragungsanalyse aufgelistet. Die Handlungsempfehlungen bieten für
den Entwickler der Applikation eine erste Hilfestellung, das identifizierte Problem zu beheben.
3.6.1 Datenschutzverstöße
In diesem Unterkapitel werden die Datenschutzverstöße aufgelistet und eine Handlungsempfehlung
abgegeben. Als Datenschutzverstoß wird die Übertragung eines personenbezogenen 1 oder anderweitig
sensiblen Datums an Dritte definiert.
Keine Datenschutzverstöße festgestellt.
Handlungsempfehlung Keine Handlung nötig
1 Personenbezogene Daten werden definiert nach §3 Abs. 1 BDSG.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 113.6.2 Datensicherheitsverstöße
In diesem Unterkapitel werden die Datensicherheitsverstöße aufgelistet und eine Handlungsempfehlung
abgegeben. Als Datensicherheitsverstoß wird die Übertragung von Daten über eine unverschlüsselte
Verbindung definiert.
Keine Datensicherheitsverstöße festgestellt
Handlungsempfehlung Keine Handlung nötig
HINWEIS: Man-in-the-Middle-Attacke nicht erfolgreich
Handlungsempfehlung Keine Handlung nötig
3.7 AGB und Datenschutzerklärung
Es wurde keine Prüfung der AGB und Datenschutzerklärung vorgenommen.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 124 Verbindungsanalyse
In diesem Kapitel werden ausführliche Informationen über die während des Testlaufs aufgezeichneten
Datenübertragungen bereitgestellt.
4.1 Verschlüsselt übertragene Datenfunde
Während des Testlaufs konnte die Übertragung folgender Daten über verschlüsselte Verbindungen
nachvollzogen werden.
Keine Funde -
4.2 Unverschlüsselt übertragene Datenfunde
Während des Testlaufs konnte keine Übertragung Daten über unverschlüsselte Verbindungen nachvollzogen
werden.
Hinweis: Grundsätzlich wird empfohlen, die Kommunikation zwischen Applikation und Servern ausschließlich
über verschlüsselte Verbindungen vorzunehmen!
4.3 Analyse Serververbindungen
In diesem Unterkapitel werden die Server aufgelistet, zu denen die Applikation während des Testlaufs
Verbindungen aufgebaut hat.
Nr. Servername IP-Adresse Port Land Betreiber
Deutsche Post
V1 *.docwallet-de.de 195.21.38.51 443 DE
AG
V2 app.adjust.com 178.162.216.179 443 DE Adjust
V3 ber01s08-in-f234.1e100.net 172.217.17.234 443 US Google API
V4 e2a.google.com 216.239.32.116 443 US Google API
V5 fra15s12-in-f42.1e100.net 216.58.208.42 443 US Google API
V6 fra16s25-in-f3.1e100.net 216.58.207.42 443 US Google API
4.4 Analyse Datenverkehr
In diesem Unterkapitel werden die Datenpakete aufgeschlüsselt, die während des Testlaufes von der
Applikation an Server und umgekehrt versendet wurden. Der Wert der Übertragung wird ebenfalls in der
Sicherheitsmatrix dargestellt.
Fund Richtung Krypto IP Port Dienstanbieter Nötig Wert
Keine Funde - - - - - -
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 134.5 Auszug Datenübertragungsprotokoll
P1 Keine Funde - - -
5 Anhang
Kein Anhang vorhanden.
© 2018 mediaTest digital GmbH | Application Security Audit | 24.04.2018 | interne Nutzung | 14Sie können auch lesen
