Security Experte präsentiert Sicherheitsanalyse von Smartphone-Apps

SSL Interception

FH Dozent Dipl.-Ing. Dr. Sebastian Schrittwieser präsentierte seine Ergebnisse bei der IDC IT-Security Roadshow 2014 in Linz und Wien.

Von Februar bis September 2014 machte die renommierte IDC IT-Security Roadshow 2014 in den meisten Hauptstädten Mittel- und Osteuropas Station. In Linz und Wien präsentierte Sebastian Schrittwieser seine Ergebnisse.

Sicherheitsanalyse von Smartphone-Apps

Smartphone-Applikationen sind gegen Analyse und Modifikation mit Hilfe einer Reihe von Sicherheitsmaßnahmen wie Verschlüsselung, Codesignierung und Sandboxing geschützt. Für Applikationen mit Netzwerkkommunikation können jedoch effektive Angriffsvektoren in deren Übertragungsprotokollen gefunden werden.

"Viele Entwickler von Smartphone-Applikationen verstecken die Implementierungsdetails ihrer Protokolle in SSL/TLS-Verbindungen.", so Schrittwieser, "Während SSL/TLS gegen Mitlesen auf dem Transportweg schützt, ist es eine ungeeignete Schutzmaßnahme gegen Protokollanalyse."

Das Konzept der SSL-Interception ermöglicht die Analyse und Modifikation von Übertragungsprotokollen mit nahezu unbegrenzten Möglichkeiten: Schummeln in Online-Spielen, kostenloses Freischalten von Zusatzfunktionalität in Applikationen, Sicherheitsanalyse von Protokollen, usw. In den Vorträgen wurde demonstriert, wie Applikationsentwickler/innen unsichere Protokolle in SSL/TLS zu verstecken versuchen und Sebastian Schrittwieser zeigte, dass bekannte Gegenmaßnahmen in der Praxis kaum genutzt werden.

Bei der IT-SeCX 2014 am 7. November 2014 an der FH St.Pölten wird Sebastian Schrittwieser den Vortrag "Security Through Obscurity – powered by Transport Layer Encryption" passend zum Thema präsentieren.

Jetzt teilen: