Sicherheit mobiler Geräte › sites › default › files › pdfs... · 2016-04-04 VHS Science in Residence: Sicherheit mobiler Geräte 7 Klassen von Gefährdungen Hardwarezugriff

Sicherheit mobiler Geräte: Können wir unseren Smartphones noch trauen (und sie uns)?

Univ.-Prof. Dr. René MayrhoferVorstand der Instituts für Netzwerke und Sicherheit

Vortrag in der Reihe „Science in Residence“2016-04-04 19:00, Wissensturm Linz

VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 3

Was sind mobile Geräte?


Grundlagendefinition der Computersicherheit: CIA Triade

Confid

entia

lity /

Vertr

aulic

hkei

t Integrity /

Integrität

Availability /Verfügbarkeit


Motivierendes Szenario:Konvergenz sicherheitskritischer Dienste


Angriffe auf das Mobiltelefon über Netzwerke

Angriffe auf das Mobiltelefon durch bösartige installierte Apps (Malware)

Weitergabe von privaten Daten durch installierte Apps (Werbung und andere)

Vorgeben des Erscheinungsbilds anderer Apps

Verfolgung der Bewegungshistorie von Benutzern

Abhören der gesamten Kommunikation Identitätsdiebstahl Erzeugen signifikanter Kosten für Benutzer Denial-of-Service Angriffe (Funknetzwerke,

Batterie, Benutzerinterface, Smartcard-PIN, etc.)

Schädigung der Infrastruktur

und viele andere mehr …

Aktuelle Probleme und Gefahren


Klassen von Gefährdungen

Hardwarezugriff durch Dritte muss angenommen werden verlorene, gestohlene, verborgte Geräte

Drahtlose Kommunikation Kurzstrecke (Bluetooth, NFC, WLAN) und Langstrecke (GSM, UMTS, LTE, …)

Benutzerschnittstelle Zugriff durch unberechtigte Dritte Unterschieben „falscher“ Apps oder Geräte

Softwarefehler (unabsichtlich oder absichtlich) in der Plattform / im Betriebssystem durch hohe Komplexität in Anwendungen → nicht vertrauenswürdige Drittanbieter

Verletzung der Privatsphäre aus Vielzahl von Daten am Gerät durch obige Klassen von Gefährdungen durch automatische Synchronisation von Daten in „die Cloud“


Klassen von Angreifern

Kollegen, Freunde, Familie, Bekannte, … Zugriff auf das Gerät hauptsächlich Neugier

Diebstahl des Geräts: Kleinkriminalität bis Bandenwesen entweder wegen Wert der Hardware oder wegen Wert der darauf gespeicherten Daten und Zugänge Spezialproblem Identitätsdiebstahl

Organisierte Kriminalität Masse statt Klasse – die Menge erfolgreicher Beutezüge zählt zerschiedene Ziele: Mobile Banking, Botnetze, Identitäten, …

Werbenetzwerke: möglichst viele Daten für Profiling Google und Facebook ...

Geheimdienste


Klassen von Gefährdungen:Gerätesicherheit

Gerät

Software

Sichere Software ist schwierig/aufwändig zu schreiben

Problem: Aktuelle Plattformen (z.B. iOS, Android, Windows Phone) sind viel zu komplex um realistisch validiert zu werden

Ansatz: Validierung eines kleinen Kernteils, der dann vertrauenswürdige von nicht vertrauenswürdigen Teilen trennt


Hardware

Betriebssystem

App AppApp

Benutzerinteraktion

Klassen von Gefährdungen:Ebenen im mobilen Gerät


Hardware

Betriebssystem

App AppApp

Benutzerinteraktion

Klassen von Gefährdungen:Sicherheitszonen

Standard-Zone

SensibleZone

Arbeits-Zone


Klassen von Gefährdungen:Kommunikation mit anderen Geräten

Schwierig weil

Leicht angreifbar

Unsichbar: nicht wahrnehmbar, welche Geräte miteinander kommunizieren

Bei vielen Geräten keine Benutzerschnittstellen

Skalierbarkeit der Aufmerksamkeit


Ein Ansatz für sichere Geräte-zu-Geräte Kommunikation: Schütteln


Daten von Beschleunigungssensoren

R. Mayrhofer and H. Gellersen, “Shake well before use: Intuitive and secure pairing of mobile devices,” IEEE Transactions on Mobile Computing, vol. 8, pp. 792-806, June 2009


Klassen von Gefährdungen:Kommunikation mit Benutzern


http://www.telemed.no/new-opportunities-present-new-challenges.552290-80451.html

Benutzerauthentifizierung per Geheimnis


Benutzerauthentifizierung per Biometrie


R. D. Findling and R. Mayrhofer, “Towards pan shot face unlock: Using biometric face information from different perspectives to unlock mobile devices,” International Journal of Pervasive Computing and Communications (IJPCC), vol. 9, pp. 190-208, 2013

R. D. Findling, F. Wenny, C. Holzmann, and R. Mayrhofer, “Range face segmentation: Face detection and segmentation for authentication in mobile device range images,” in Proc. MoMM 2013, pp. 260-269

Benutzerauthentifizierung per Biometrie: Gesicht


Benutzerauthentifizierung per Biometrie


Benutzerauthentifizierung per BiometrieIris


Benutzerauthentifizierung per Biometrie:Gangart

M. Muaaz and R. Mayrhofer, “Orientation Independent Cell Phone Based Gait Authentication,” in Proc. MoMM 2014, pp. 161-164

http://www.homelandsecuritynewswire.com/gait-biometrics-shows-promise


Benutzerauthentifizierung per BiometrieGangart



Benutzerauthentifizierung per Gangart



Klassen von Gefährdungen:Kommunikation in alle Richtungen


Klassen von Gefährdungen:Vertrauen in das eigene Gerät

R. Mayrhofer, “An architecture for secure mobile devices,” Security and Communication Networks, 2014 (AID SEC1028).


Sicherheitskonzepte in iOS vs. Android Geschlossenes Ökosystem

Alle Apps gehen durch Store außer bei Jailbreak...

Einige Sicherheitsmaßnahmen auf Ebene des Betriebssystems dynamische Berechtigungen schon

länger unterstützt

Transparente Verschlüsselung am Gerät per Default aktiv iOS 8 macht dies sicher!

Offenes Ökosystem Beliebige Apps können installiert

werden, aber Kontrolle durch

inkl. dynamischer Berechtigungen

Transparente Verschlüsselung am Gerät ab Android 5 für Google-Geräte als Default, andere Hersteller u.U. nur manuell


Aktuelle Diskussionen

Vorratsdatenspeicherung, Sicherheitspolizeigesetz, Staatsschutzgesetz, … und ihre Auswirkungen auf Mobilkommunikation

Bankomatkarte mobil

Apple vs. FBI

Android 6.0 „Patch Level“ und Update-Politik der Hersteller

...


Verbesserung der Sicherheit auf eigenen Mobilgeräten: Gerätesicherheit (1/2)

Gerätesicherheit

Betriebssystem stets aktualisieren (wenn verfügbar…)

Gerätesperre einrichten Passwort oder PIN vermutlich sicher wenn ausreichend lang Fingerabdruck vernünftiger Kompromiss Entsperrmuster in Kombination mit Passwort beim Einschalten Gesichts- und Sprechererkennung derzeit nicht sicher genug

Geräteveschlüsselung einrichten → wenn möglich mit langem Passwort beim Einschalten, aber alternativer Entsperrmethode


Verbesserung der Sicherheit auf eigenen Mobilgeräten: Gerätesicherheit (2/2)

Gerätesicherheit

Installation von Apps von unbekannten Quellen nicht erlauben (z.B. auch über scheinbar von Hausbank versandte Emails)

Automatisches Sperren des Geräts nach z.B. 1 Min

Remote Wipe (Fernlöschen) und u.U. Tracking aktivieren

Spiele, soziale Netzwerke und andere „unwichtige“ Apps von sensiblen trennen → unter Android mehrere Benutzer am Gerät

Keine Apps installieren, die man nicht wirklich braucht → jede kann potenziell die Privatsphäre verletzen oder Sicherheitslücken aufweisen (siehe Taschenlampen-Apps mit Zugriff auf Adressbuch...)


Verbesserung der Sicherheit auf eigenen Mobilgeräten: Netzwerksicherheit

Sicherheit von Netzwerkverkehr

VPNs verwenden, wenn Verbindung zu nicht-vertrauenswürdigen Netzwerken besteht (z.B. WLAN Hotspots)

Bei bekannten WLANs (einmal manuell) Zertifikate installieren, zu diesen Netzwerken nicht verbinden an zweifelhafter Orten

Zwei-Faktor-Authentifizierung für wichtige Dienste Achtung: Mobile Banking Apps mit SMS-TAN sind gefährlich!

SMS ist nicht mehr zweiter Faktor wenn am selben Gerät

Verschlüsselte Kommunikation einsetzen statt Cloud-Services „Signal“ für Android und iOS frei verfügbar für Nachrichten,

Sprache und Dateien „WhatsApp“ ist sehr problematisch, „Facebook Messenger“

noch mehr, „Instagram“, „SnapChat“, etc. ebenso

JOHANNES KEPLERUNIVERSITÄT LINZAltenberger Str. 694040 Linz, Österreichwww.jku.at

Danke für Ihre Aufmerksamkeit!

Univ.-Prof. Dr. René MayrhoferVorstand der Instituts für Netzwerke und [email protected] https://ins.jku.at

Documents

Sicherheit mobiler Geräte › sites › default › files › pdfs... · 2016-04-04 VHS Science in Residence: Sicherheit mobiler Geräte 7 Klassen von Gefährdungen Hardwarezugriff