Zentrum für sichere Informationstechnologie – Austria

Fingerprinting von Code mobiler Anwendungen

Kategorie: IT-Sicherheit

Bei der Analyse von Applikationen für mobile Plattformen (Android, iOS) hat sich gezeigt, dass sicherheitsrelevante Probleme oft nicht im Applikationscode selbst zu verorten sind, sondern durch Komponenten von Drittherstellern eingebracht werden. Oftmals werden diese problematischen Codeteile frei zur Verfügung gestellt und finden sich somit in vielen Applikationen wieder. Wird der Programmcode vom Hersteller zudem verschleiert („obfuscated“), erschwert dieser Umstand die Auffindung prekärer Codeteile obendrein.
Weiter lesen…

Device Enrolment mit flexibler Authentifizierung

Kategorie: IT-Sicherheit

Im Corporate-Bereich sind Managed-Devices bereits etabliert. Kleinunternehmer und Endbenutzer profitieren jedoch wenig von derart komplexen Systemen und Infrastrukturen dieser Größenordnung. Des Weiteren sind Managed-Device-Lösungen meist an externe Infrastrukturen gekoppelt.
Im Rahmen dieses Projekts wurden Konzepte zu flexibler Authentifizierung von Geräten erarbeitet. Dabei liegt der Fokus auf der erstmaligen Geräteauthentifizierung bzw. dem Enrolmentverfahren sowie einfacher Widerrufbarkeit von Berechtigungen. Die initiale Authentifizierung muss flexibel genug gestaltet sein, um auch die unterschiedlichen Eigenschaften von Endnutzergeräten miteinzubeziehen und on-demand entsprechende Device-Policies zu erstellen. Die eigentliche Kommunikation und der Kommunikationsaufbau zwischen Gerät und Dienst soll hingegen möglichst unkompliziert und konzeptionell einfach gehalten werden. Auf Grund der Leistungsfähigkeit aktueller Endgeräte, sowie deren umfangreichen Featuresets und der breiten Unterstützung von Technologien wie TLS ist der notwendige Unterbau für eine praktische Umsetzung der beschriebenen Konzepte vorhanden. Die praktische Umsetzbarkeit kann an Hand des zur Verfügung gestellten Demonstrators nachvollzogen werden.

Weiter lesen…