Mobile Security

Mehr Sicherheit für die mobile Kommunikation

Mobile Endgeräte und Anwendungen sind heutzutage omnipräsent. Sie durchdringen die moderne Arbeitswelt, steuern Industrieanlagen und machen Fahrzeuge zu mobilen Kommunikationszentralen. Vorbei sind die Zeiten, in denen Apps harmlose Spiel- und Entertainment-Programme waren. Vielmehr dienen sie heute als mobiles Büro, als Kreditkarte, als digitaler Türöffner und zur Kontrolle von smarten Produktionsanlagen.

Gleichzeitig wächst die Angriffsfläche, wie die rasant steigende Zahl der Schadsoftware belegt. Mit den Bordmitteln der Betriebssysteme wie Android und iOS kann den neuen Bedrohungen nur unzureichend begegnet werden. Wir unterstützen Hersteller mobiler Lösungen bei der Entwicklung und Evaluierung ihrer Produkte und beraten Anwender bezüglich geeigneter Technologien für die sichere Nutzung mobiler Anwendungen.
Gleichzeitig entwickeln wir neuartige Konzepte für gehärtete mobile Plattformen, sichere Anwendungen und vertrauenswürdige App-Stores.

Expertise

Unsere Kunden unterstützen wir bei der Entwicklung von sicherheitskritischen mobilen Anwendungen und Produkten über alle Phasen des Entwicklungsprozesses hinweg.
In der Vorbereitungsphase erstellen wir Machbarkeitsstudien und entwickeln Prototypen für sichere mobile Plattformen. In der Planungs- und Entwicklungsphase konzipieren wir sichere Architekturen und begleiten die Entwicklung durch Code-Reviews und Einhaltung von Best-Practices.

Um das Restrisiko einzuschätzen und etwaige Angriffsvektoren aufzudecken bevor sie ausgenutzt werden, führen wir praktische Pentests und detaillierte Sicherheitsanalysen durch. Hierzu entwickeln wir im Rahmen unserer Eigenforschung Analysewerkzeuge und betreiben Labore, in denen wir bspw. Angriffe auf Mobilfunkschnittstellen testen.

Kompetenzen und Angebote im Überblick

Unsere Kompetenzen umfassen alle Ebenen des Mobile-Stacks, von Mobilfunk über das Betriebssystem, Application Framework, Anwendungen, bis hin zu Backend-Diensten.

  • Wir testen mobile Anwendungen und ihre Backends auf Schwachstellen. Dazu führen wir sowohl systematische Bedrohungs- und Risikoanalysen, als auch praktische Pentests durch.
  • Die Ergebnisse dokumentieren wir in einem ausführlichen Report. Auf Wunsch tragen wir zur Publikation der Analyseergebnisse in Form von Whitepapers oder Pressemitteilungen bei.
  • Wir testen Anwendungen in unserem Mobilfunk-Labor auf Verwundbarkeiten auf GSM/GPRS/LTE-Ebene
  • Wir bieten Schulungen zur Analyse von Android-Anwendungen an
  • Wir unterstützen bei der Entwicklung von sicheren Anwendungen. Dazu erstellen wir Best Practices Guidelines, übernehmen Teile der Entwicklung und stehen als Quality Gateway zur Verfügung. Weiter bieten wir eine Integration von automatischen Sicherheitstests in die Build-Chain an.
  • Wir konzeptionieren und implementieren Lösungen für den Einsatz mobiler Geräte für sicherheitskritische Anwendungsbereiche wie z.B. Zutrittskontrollen, Automotive-Services, Mobile Payment, Logistik-Anwendungen oder Industrie 4.0-Steuerungen.

Projekte (Auswahl)

Es folgt eine Liste mit bereits umgesetzten Industrieprojekten und den darin von AISEC erbrachten Leistungen.

  • Für einen führenden Chip-Hersteller wurde eine Studie zur Wirksamkeit einer Mobile-Malware-Detection durchgeführt.
  • In Zusammenarbeit mit der Bundesdruckerei wurde eine sichere Smartphone-Plattform entwickelt
  • Für die Bundeswehr wurden Schulungen zu Mobile Security und App-Analyse durchgeführt.
  • Das Mobile-Payment-SDK eines Software-Unternehmens wurde einer Sicherheitsanalyse unterzogen.
  • Ein Finanzinstitut wurde bei der Entwicklung einer EMV-basierten Mobile-Payment-App begleitet. Es wurde eine Risiko- und Sicherheitsanalyse durchgeführt, Sicherheitsmaßnahmen sowie Best Practices für die praktische Umsetzung empfohlen und deren Umsetzung verifiziert.
  • Für ein führendes Kreditkartenunternehmen wurde eine Risiko- und Sicherheitsanalyse für ein EMV-basiertes mobiles Bezahlsystem durchgeführt, sowie Sicherheitskonzepte für eine vertrauliche Benutzer-Eingabe (PIN) auf dem mobilen Endgerät entwickelt.
  • Gemeinsam mit der Deutschen Post wurden Sicherheitskriterien für ein mobiles Dokumentenmanagement-System und die mobilen Anwendungen evaluiert.
  • Für ein führendes Kreditkartenunernehmen wurde eine Sicherheitsevaluation einer NFC-basierten Mobile-Payment-Anwendung durchgeführt: Betriebssysteme, Middleware, Anwendungen, Kommunikationsschnittstellen, Protokoll-Review, Integration der Secure Elements, sowie Umsetzung praktischer Angriffe.
  • Sicherheitsanalysen von mobilen Apps für die Betriebssysteme iOS, Android und Blackberry für mehrere App-Anbieter.
  • Entwicklung von sicheren NFC-basierten Anwendungen im Fahrzeugschlüssel sowie Erstellung einer Machbarkeitsstudie für den Serieneinsatz.
  • Für einen Hersteller von mobilen Sicherheitslösungen wurden Konzepte und technische Lösungen für Trusted Mobile Devices entwickelt.

Produkte/Lösungen

App-Ray - Apps auf Herz und Nieren prüfen

App-Ray analysiert Android-Apps umfassend und vollautomatisch auf Sicherheitslücken, Gefährdungen der Privatssphäre und Programmierfehler. Das Tool unterstützt sowohl Pentester als auch Entwickler und dient als Grundlage für einen Trusted App Store.

App-Ray - Apps auf Herz und Nieren prüfen

trust-me - Sichere mobile Endgeräte

trust-me ist die sichere mobile Plattform des Fraunhofer AISEC, in Zusammenarbeit mit der Bundesdruckerei. Das speziell gehärtete Betriebssystem auf Android-Basis bietet eine starke Isolation von verschiedenen Arbeitsbereichen (z.B. privat und beruflich), sichere Kommunikation über VPN, sowie die Nutzung von Hardware-Security-Tokens.

trust-me - Sichere mobile Endgeräte

trust-me ist die sichere mobile Plattform des Fraunhofer AISEC, in Zusammenarbeit mit der Bundesdruckerei. Das speziell gehärtete Betriebssystem auf Android-Basis bietet eine starke Isolation von verschiedenen Arbeitsbereichen (z.B. privat und beruflich), sichere Kommunikation über VPN, sowie die Nutzung von Hardware-Security-Tokens.

trust-me - Sichere mobile Endgeräte

Publikationen (Auswahl)

Wissenschaftliche Publikationen

  • J. Schütte, J. Eichler, and D. Titze. “Sichere Business-Apps unter Android”. In: Mobile Anwendungen in Unternehmen - Konzepte und betriebliche Einsatzszenarien. Ed. by T. Barton, C. Müller, and C. Seel. Springer Vieweg, 2016, pp. 139–156.
  • S. Wessel, M. Huber and C. Eckert. "Improving Mobile Device Security with Operating System-Level Virtualization". Computers & Security Journal (COSE), 2015.
  • M. Velten, P. Schneider, S. Wessel and C. Eckert. “User Identity Verification Based on Touchscreen Interaction Analysis in Web Contexts”. In: Information Security Practice and Experience. Ed. by Javier Lopez and Yongdong Wu. Vol. 9065. Lecture Notes in Computer Science. Springer International Publishing, 2015, pp. 268–282. isbn: 9783319175324. doi: 10.1007/978-3-319-17533-1_19.
  • M. Huber, J. Horsch, M. Velten, M. Weiß and S. Wessel. “A Secure Architecture for Operating System-Level Virtualization on Mobile Devices”. In: 11th International Conference on Information Security and Cryptology Inscrypt 2015. 2015.
  • B. Taubmann, M. Huber, S. Wessel, L. Heim, H. P. Reiser and G. Sigl. “A Lightweight Framework for Cold Boot Based Forensics on Mobile Devices”. In: The 10th International Conference on Availability, Reliability and Security (ARES). 2015.
  • S. Proskurin, M. Weiß and G. Sigl. “seTPM: Towards Flexible Trusted Computing on Mobile Devices based on GlobalPlatform Secure Elements”. In: Smart Card Research and Advanced Application, 14th International Conference, CARDIS 2015, Bochum, Germany, November 46, 2015. Proceedings. 2015.
  • D. Titze and J. Schütte. "Apparecium: Revealing Data Flows in Android Applications". In: Proceedings of the Seventh International Symposium on Advanced Information Networking and Applications, Gwanju, 2015.
  • J. Schütte, R. Fedler and D. Titze. "ConDroid: Targeted Dynamic Analysis of Android Apps". In: Proceedings of the Seventh International Symposium on Advanced Information Networking and Applications, Gwanju, 2015.
  • D. Titze and J. Schütte. “Preventing Library Spoofing on Android”. In: Proceedings of IEEE International Workshop on Trustworthy Software Systems. Helsinki, Finland, 2015.
  • J. Schütte. "NFC? Aber sicher". Datenschutz und Datensicherheit (DuD), Volume 38, Issue 1, pp. 20-24, Januar 2014.
  • D. Titze, P. Stephanow and J. Schütte. "App-Ray: User-driven and fully automated Android app security assessment". Fraunhofer AISEC TechReport May 2014.

App-Ray Poster