Blackhat Europe 2014

Blackhat Europe 2014

Thomas Brandstetter hielt Vortrag zum Thema SSL-Validierungsprüfungen auf der internationalen Sicherheitskonferenz Blackhat Europe 2014

Mehr als 600 TeilnehmerInnen aus 68 Ländern informierten sich auf der Blackhat Europe 2014 über die aktuellsten Sicherheitsschwachstellen und -trends. Thomas Brandstetters Vortrag trug den Titel "SSL Validation Checking vs. Go(ing) to Fail".

"Ausgang unserer Überlegungen war die berühmte "goto-fail" Sicherheitslücke die Apple Anfang des Jahres Probleme bereitet hat. Die Lücke war insofern problematisch als Apps mitunter nicht mehr ordentlich überprüfen konnten, ob der Server mit dem sie kommunizieren wirklich die legitime, erwartete Gegenstelle sei. Das ist insbesondere bei Apps, die private und somit vertrauliche Daten übertragen, sehr wichtig.", so Brandstetter.

In einer Firmendiplomarbeit, erstellt vom Masterstudenten Christian Stoiber, wurde eine Testmethodik sowie ein Prototyp erarbeitet mit dem sich Apps auf Fehler in der Validierungslogik der SSL-Verschlüsselung überprüfen lassen ohne den Sourcecode vorliegend haben zu müssen. Der Prototyp wurde im Unternehmen weiterentwickelt und mittlerweile wurden mehr als 90 mobile Apps aus dem Bank- und Finanzsektor getestet, da hier die Notwendigkeit für eine vertrauliche Datenübertragung verständlicherweise enorm hoch ist.

Das Ergebnis war bemerkenswert

Sowohl unter den Apps von einheimischen, aber auch großen, internationalen Banken gab es Apps, welche die sicherheitskritischen SSL-Zertifikate überhaupt nicht überprüft haben. „Dies ist im Jahr 2014, wo Security kein brandneues Thema mehr ist, doch etwas befremdlich – vor allem im Banken- und Finanzsektor mit hohen Sicherheitsanforderungen.", meint Brandstetter. Ein Anwender einer solchen App würde keinerlei Hinweis bekommen, falls ein Hacker versuchen sollte sich in die Verbindung zwischen seinem Handy und dem Bankserver einzuschleusen, um die vertraulichen Finanzinformationen mitzulesen oder zu manipulieren. Betroffene nationale Banken wurden, soweit möglich, informiert und haben teilweise auch schon reagiert. „Seit unseren ersten Tests im Frühjahr mit zum Teil noch haarsträubenden Ergebnissen wurden mittlerweile viele neue, verbesserte Apps zur Verfügung gestellt. Bei einigen Apps besteht eine Reihe von Lücken jedoch nach wie vor. Es ist daher ratsam zu überprüfen, ob am Smartphone die jeweils neueste Banking-App installiert ist und sie gegebenenfalls zu aktualisieren.", so Brandstetter.

Jetzt teilen: