Smartphones. Sie verraten mehr, als man erwartet. Frederik Armknecht. Frederik Armknecht 1

Transkript

1 Smartphones Sie verraten mehr, als man erwartet Frederik Armknecht Frederik Armknecht 1

2 Agenda Sicherheitsrisiko Smartphone Sensoren in Smartphones Angriffe Neue Sicherheitslösungen Fazit Frederik Armknecht 2

3 Sicherheitsrisiko Smartphone Frederik Armknecht 3

4 Statistik: Anzahl Benutzer Frederik Armknecht 4

5 Statistik: Verwendung Quelle: Statista, 2016 Frederik Armknecht 5

6 Schichtenmodell Hardware Frederik Armknecht 6

7 Schichtenmodell Betriebssystem Hardware Frederik Armknecht 7

8 Schichtenmodell App App App Betriebssystem Hardware Frederik Armknecht 8

9 Schichtenmodell Netzwerk App App App Betriebssystem Hardware Frederik Armknecht 9

10 Schichtenmodell Benutzer Netzwerk App App App Betriebssystem Hardware Frederik Armknecht 10

11 Sicherheitsrisiken Benutzer Netzwerk App App App Betriebssystem 10.8% leak sensitive data over the network 24.7% have at least one security flaw Hardware Quelle: NowSecure, 2016 Frederik Armknecht 11

12 Sensoren in Smartphone Angriffe Frederik Armknecht 12

13 Sicherheitsrisiken: Sensoren Benutzer Netzwerk Rückschlüsse App App App Liest Messwerte Betriebssystem Beeinflusst Messwerte Hardware Sensor Frederik Armknecht 13

14 Off-Topic: Stromverbrauch Was ist mit Sensordaten bei Smartphones? Frederik Armknecht 14

15 Beispiel: GPS Benutzer Tracking App App App Betriebssystem GPS Hardware Frederik Armknecht 15

16 Beispiel: Kamera Benutzer Regelmäßige Fotos App App App Betriebssystem Passwort-Ermittlung basierend auf Reflektionen Kamera Hardware Frederik Armknecht 16

17 Beispiel: Mikrofon Passworteingaben Benutzer App App App Betriebssystem Kreditkarteninformationen Mikrofon Hardware Frederik Armknecht 17

18 Beispiel: Touchscreen Benutzer Erkennung von Passwörtern durch Handbewegungen App App App Betriebssystem Schmutzreste Touchscreen Hardware Frederik Armknecht 18

19 Gyroskop und Accelerometer Beschleunigungssensor Misst Beschleunigung entlang einer Achse Gyroskop Misst Drehungen um eine Achse Frederik Armknecht 19

20 Beispiel: Gyroskop und Beschleunigungssensor Benutzer Erkennung von Passwörtern durch Bewegung des Smartphones App App App Betriebssystem Hardware Frederik Armknecht 20

21 Beispiel 2: Gyroskop und Beschleunigungssensor Benutzer Identifizierung des Benutzers App App App Betriebssystem Erkennung von Stimmen und Lauten Hardware Frederik Armknecht 21

22 Sensoren in Smartphone Neue Sicherheitslösungen Frederik Armknecht 22

23 Motivation Pin-Eingabe populärste Authenfikationsmethode Probleme: Entropie Shoulder Surfing Frederik Armknecht 23

24 Was ich weiß Authentifikationsmethoden Beispiele: Passwörter, PIN Entropie vs. Merkbarkeit Wissen kann gestohlen/vergessen werden Kein direkter Zusammenhang zum Benutzer Was ich habe Beispiel: Smartcard Gerät kann man vergessen, verlieren, gestohlen werden Kein direkter Zusammenhang zum Benutzer Was ich bin Biometrie Problem: Kosten Frederik Armknecht 24

25 Google Abacus Authentifikation durch permanentes Verfolgen des Nutzerverhalten Schreibverhalten Apps-Benutzung Bewegung Sprachmuster Gesicht Trustscore Drückt aus, wie sehr das Verhalten dem üblichen Verhalten entspricht Steuert Zugang zu Apps Frederik Armknecht 25

26 Privatsphäre? Welche Daten werden gesammelt? Schreibverhalten Textinhalte? Sprachmuster Sprachinhalte? Weitere Daten? Wo werden diese Daten gespeichert? Lokal, global Wer hat Zugriff auf diese Daten? Welche Informationen lassen sich noch ableiten? Frederik Armknecht 26

27 SMAUG Secure Mobile Authentication Using Gestures Altenglisch: smugan = move gradually Frederik Armknecht 27

28 Ansatz Passwort = beliebige Geste (Zeichnung, Bewegung) Authentifikation basierend auf Was eingegeben wird (Wissen) Wie es eingegeben wird (Biometrie) Existierende Sensoren Touchscreen Gyroskop Accelerometer Frederik Armknecht 28

29 Vergleich Multi- Gesture Free-Form Gesture Multi- Touch Multi- Stroke Multi- Factor Multi- Sensor Sensor Fusion Graphical Passwords Continuous Authentication Operating System Sample Size Kar et al NO YES NO YES NO NO (T) NO NO NO SOME 20 Weiss et al NO NO NO NO NO NO (T) NO NO NO ANY 24 Liu et al NO YES NO NO NO NO (A) NO NO NO WII? Sae-Bae et al A NO NO YES (5FIX) NO NO NO (T) NO NO NO ANY 10 Sae-Bae et al B NO YES YES (5FIX) NO NO NO (T) NO NO NO ANY 10 De Luca et al NO NO PARTLY (2) NO YES YES (TA) NO NO NO ANDROID 20 Zhu et al PARTLY NO NO YES NO YES (AGM) NO NO YES MODIFIED Shahzad et al YES NO YES (5) NO NO YES (TA) NO NO NO ANY 25 Li et al PARTLY NO NO YES NO NO (T) NO NO YES MODIFIED Sae-Bae et al NO YES YES (5) NO NO NO (T) NO YES NO ANY 10 Sherman et al NO YES YES (4) NO NO NO (T) NO NO NO ANY 10 Sun et al NO YES YES (5) NO NO YES (TA) NO NO NO ANY Zheng et al NO NO NO NO YES YES (TA) NO NO NO ANY 20 Our Scheme 2015 YES YES YES (10+) YES YES YES (TAG) YES YES NO ANY 10 Frederik Armknecht 29

30 Experimente 19 Teilnehmer (5 weiblich, 14 männlich) 4170 Datensätze Erste Resultate vielversprechend, aber mehr Tests notwendig Längere Experimentenreihe startet demnächst Frederik Armknecht 30

31 Fazit Frederik Armknecht 31

32 Fazit Smartphone-Sicherheit ist ein wichtiges Gebiet Neben den klassischen Gefährdungsstellen kommen durch Sensoren neue hinzu Gegenmaßnahmen: Sensoren ebenfalls durch Betriebssystem schützen Drosselung der Sensoren? Welche Lücken gibt es noch? Frederik Armknecht 32

33 Ausblick Starke Bindung von Smartphone mit Umgebung Kann auch Vorteile bieten, bspw. Authentifikation Ähnliche Beispiele aus anderen Gebieten: Physically Unclonable Functions Seitenkanalangriffe Distance-Bounding Proof of Location Remote Attestation Neue Lösungen??? Frederik Armknecht 33

34 Vielen Dank! Frederik Armknecht 34