Sebastian Schrittwieser gewinnt Hackerwettbewerb

Troopers14

FH-Dozent Sebastian Schrittwieser präsentierte mit Peter Frühwirt Ergebisse zum Thema "Sicherheit von APPs" auf der Troopers14 in Heidelberg.

Dass Entwickler sich kaum um die Sicherheit der Übertragungsprotokolle ihrer Apps kümmern, war das Ergebnis der Präsentation von Peter Frühwirt von dem Sicherheitsunternehmen SBA Research und Dipl.-Ing. Sebastian Schrittwieser auf der Sicherheitskonferenz Troopers 14 in Heidelberg. 

Sicherheit von Apps

Wie verwundbar der Datenaustausch zwischen Apps und den Applikationsservern durch sogenannte Man-in-the-Middle-Attacken ist, zeigte der Vortrag deutlich. Für die Analyse verwendeten Frühwirt und Schrittwieser den HTTPS-Proxy Charles. Dessen Root-Zertifikat wurde zu Analysezwecken auf einem iPhone installiert. Der Proxy leitete dann Daten von dem Smartphone zum Applikationsserver und zurück. Frühwirt und Schrittwieser konnten dann beispielsweise anhand des populären Smartphone-Spiels Quizduell die Auswirkungen unsicherer Übertragungsprotokolle zeigen. Die Antworten zu allen Fragen werden zum Spielstart auf das Smartphone übertragen und können mit Hilfe des HTTPS-Proxies ausgelesen werden.

Privatsphäre im Blickpunkt

Dass solche Einblicke in das Protokoll selbstverständlich auch die Privatsphäre verletzen können, zeigt ein anderes Beispiel. Frühwirt und Schrittwieser konnten bei den Dateinamen von Fotos einer populären Fototausch-App ein bestimmtes Muster erkennen. Sie luden daraufhin die ersten Fotos herunter, die jemals mit der App gemacht wurden. Sie waren vermutlich von dem Entwickler selbst, von seinem Laptop, von seinen Füßen und von seinem Auto.

Paneldiskussion Ethics of Security Work & Research

Sebastian Schrittwieser diskutierte mit SicherheitsforscherInnen und PraktikerInnen über ethische Aspekte im Themengebiet der IT-Sicherheit. Im Konsens wurde festgestellt, dass die Schaffung von allgemein gültigen Richtlinien zwar wünschenswert wäre, trotzdem aber immer von Fall zu Fall individuell entschieden werden muss.

PacketWars

Den alljährlichen Hackerwettbewerb "PacketWars" der Troopers konnte Sebastian Schrittwieser zusammen mit KollegInnen von SBA Research ebenfalls für sich entscheiden. In 3 30-minütigen Challenges mussten geheime Daten gesichert werden und vor den anderen Teams "versteckt" werden.

Wir gratulieren zu diesem Erfolg!

Jetzt teilen: