Zentrum für sichere Informationstechnologie – Austria

Statische Analyse von Windows Phone Applikationen

Kategorie: IT-Sicherheit

In diesem Projekt wurden einige Windows Phone Applikationen statisch analysiert. Ziel war es, gängige Sicherheitsprobleme zu finden. Dafür wurden zuerst einige ausgewählte Applikationen manuell analysiert. Die gewonnenen Erkenntnisse wurden zur Erstellung eines automatischen Analyse-Frameworks genutzt. Mit diesem Framework wurden ~40000 Applikationen analysiert, in 8.5% der Applikationen wurden Sicherheitsprobleme gefunden.

Weiter lesen…

Browser-Plugin zur Interaktion mit SkyTrust

Kategorie: IT-Sicherheit

Online-Dienste zur Ablage von Daten (z.B. Dropbox, Google Drive) bieten keine Möglichkeit, die hinterlegten Daten vor dem Hochladen zu verschlüsseln. Desktop-Programme von Drittherstellern sind prinzipiell in der Lage, dieser Aufgabe nachzukommen. Jedoch sind diese Applikationen teils nicht für das jeweils eingesetzte (Mobil-)Betriebssystem verfügbar oder schützen die eingesetzten kryptographischen Schlüssel nur unzureichend. Als Konsequenz wurde in diesem Projekt im Rahmen eines Prototyps ein Browser-Plugin für Google Chrome umgesetzt, das ohne Umweg über tertiäre Applikationen bestehende Browser-Schnittstellen so umleitet, dass von AnwenderInnen gegebene Daten über eine sichere Plattform (SkyTrust) einer kryptographischen Operation unterzogen werden. Der Vorteil dieses Ansatzes ist, dass existierende Web-Applikationen keiner speziellen Anpassung bedürfen, damit die Daten von BenutzerInnen kryptographisch geschützt werden. Weiter lesen…

Platformunabhängiges CMA System

Kategorie: Cloud Computing, IT-Sicherheit

Durch die ständige Verfügbarkeit von mobilen Geräten halten diese unaufhaltsam Einzug in das tägliche Leben der Benutzer. Außerdem werden mobile Geräte immer leistungsfähiger, sind aber trotzdem stark eingeschränkt in Bezug auf deren Laufzeit wegen einer begrenzten Kapazität der verwendeten Akkus. Um sich diesem Problem anzunehmen, wurden unterschiedliche Systeme entwickelt um dynamisch externe Ressourcen zu allokieren und diese dem mobilen Gerät zur Verfügung zu stellen. Es stellt sich aber heraus, dass einerseits alle verfügbaren Systeme sehr stark auf ausgewählte Plattformen beschränkt sind und andererseits keines der vorhandenen Systeme sich Sicherheitsaspekten widmet.
Weiter lesen…