Die Sicherheit von Smartphones als Fernsteuerungsgeräte für IoT Devices Dr. Bernd Borchert. (Univ. Tübingen)

Ähnliche Dokumente
Mobile Banking - Verfahren,Sicherheit,Usability

NFC. Near Field Communication Das Handy als Portemonnaie der Zukunft. Beat Morf, Albis Technologies AG Dominik Gruntz, Fachhochschule Nordwestschweiz

Host Card Emulation Wie sicher ist das Bezahlen ohne Secure Element?

Endgeräteunabhängige Schlüsselmedien

Display-TAN: Die Bankkarte als TAN-Generator

Postfinance Sicherheitsfrühstück Unterwegs sicher vernetzt

Smartphone mit Nahfunk (NFC)

für die Verwendung von Citrix-Receiver auf Mobile Devices: (IPhone, IPad)

Was ist starke Authentisierung? Jens Bender Bundesamt für Sicherheit in der Informationstechnik

Matthias Wörner gepr. IT-Sachverständiger

Seminar: Sicheres Online Banking Teil 1

Fachbereich Informatik (Wilhelm-Schickard-Institut) Online Bezahlung mit NFC Smartphone und NFC Geldkarte

BLE als Alternative zu NFC bei Authentisierungsverfahren mit Token oder Karte

Mobile Security Smartphones

Neue Systeme für Mobile Payment: Payment Made in Germany. Dr. Stefan Eulgem, Telekom Deutschland,

Test/ Vergleich der Messenger imessage und Line. Messaging Tools im Vergleich imessage vs. Line

benötigen eine sichere Technologieumgebung

Kobil Sicherheitstag 2013 Authentisierung im e-banking

OnlineBanking: Einfach und flexibel

Ricoh Smart Device Connector 14/03/2016 1

Mobile Commerce. Sicherheit, Anwendungen und Perspektiven Dr. Bernd Dusemund Institut für Telematik

Microsoft Lumia 650 DIE SMARTE WAHL FÜR IHR BUSINESS

Mobile Payment: Der nächste Schritt des sicheren Bezahlens

Onlineaccess. Kartenverwaltung und mehr Sicherheit per Mausklick.

Anforderungen und Umsetzung einer BYOD Strategie

Empfohlene Sicherheitsmaßnahmen aus Sicht eines Betreibers. Wien,

Kurzanleitung OLB-App Mobiles OnlineBanking für Smartphones und Tablets.

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Mobile ID für sichere Authentisierung im e-government

Masterarbeit: Benutzung von cloud-basierten sicheren Elementen für NFC-Smartphone im Fahrzeug-Kontext

Alles für Ihr Business. Einfach professioneller. A1 Business Produkte. Der Komplettanbieter für Ihre gesamte Kommunikation. A1.

Tapit Access1. Opens the real world with a virtual key on your smart phone Hugo Straumann Innovation, Swisscom AG

Master-Thesis. Zugang via Fotohandy. Michael Rimmele

DK Infoveranstaltung. girocard im Internet. Matthias Hönisch, BVR. Berlin, 9. September 2013

Wechsel von Blackberry auf iphone

Kombinierte Attacke auf Mobile Geräte

GEVA Business Solutions GmbH

Eidgenössisches Justiz- und Polizeidepartement EJPD Informatik Service Center ISC-EJPD. Die Mobile-ID. Das neue Authentisierungsmittel am SSO-Portal

Kommunikation der Zukunft Zukünftige Möglichkeiten der Kommunikationsinfrastruktur

THEMA: CLOUD SPEICHER

Aktivierung des Mobile Features am FUN4FOUR

Der virtualisierte Anwender:

Mit einer Rufnummer bis zu 3 mobile Endgeräte nutzen mit nur einem Vertrag, einer Rechnung und einer Mailbox.

Windows Phone - Lumia 630 Dual-SIM- eine neue Erfahrung

ISEC7 GROUP BlackBerry World comes 2 you

Der neue Kunde kommt mit Handy: Smartphones & digitale Dienste am Point of Sale. Frankfurt am Main - Webchance 31. August Uhr

Sicherheit im Mobile Computing Praxisforum "Anwender und Anbieter im Dialog - Mobile Sicherheit im Unternehmen" , IHK Akademie München

MOBILE BANKING. BL Mobile Banking für Ihre mobilen Bankgeschäfte


Konsumenteninformation

Mobile Commerce für KMUs Mobile Payment. Arne Winterfeldt ebusiness-lotse Oberschwaben-Ulm

Mobile Marketing. Mobile Erfolgsstrategien mit interoperativen Systemen im Ökosystem des mobile Webs

Du kannst alles haben. Aus einer Hand. Gratis Herstellung. A1 One! Du kannst alles. Mit den A1 One! Kombis. A1.net/one

Mobile Payment mittels NFC

Der Herr der Schlüssel Wie zweigeteilte Seed Records alle Sicherheitsbedenken gegenüber Zwei-Faktor-Authentifizierung auflösen

Relevante Sicherheitskriterien aktueller mobiler Plattformen

Hermann Geupel VoiceTrust GmbH. Stimmbiometrie im Callcenter und Mobile Banking heute und morgen

HANDYLUDER. Das Handyvirusquartett. Spielen. Sammeln. Trumpfen. Lernen. inkl. 30 Tipps für einen sicheren Umgang mit Handy, Smartphone, PDA & Co.

Sicherer Datenaustausch zwischen der MPC-Group und anderen Firmen. Möglichkeiten zum Datenaustausch... 2

Mobile Device Security: Aktuelle Herausforderungen für Mobile Banking Anwendungen

Sparkasse Siegen startet mit innovativem

Unerhört sicher! Schutz mobiler Business Apps bei maximaler Userfreiheit!

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Mobile ID für sichere Authentisierung im e-government

TreMoGe und Sicherheit auf Smartphones

CYBER TELEKOM DR. MARKUS SCHMALL

Informationstag "Elektronische Signatur"

Smartphone-Sicherheit

A New Era in Secure Mobility

Installation und Aktivierung von Norton Mobile Security Android

Lösungen im digitalen Binnenmarkt: Siegel, Zeitstempel und Signaturen

Kryptografie-Schulung

Weil Ihre Sicherheit für uns an erster Stelle steht.

secuentry/anleitung IOS ConfigApp

Der Aufbau einer erfolgreichen Website

Trend Micro Mobile Mitarbeiter ohne lokale Daten Wie geht das? Safe Mobile Workforce Timo Wege, Technical Consultant

Bessere Conversion Rate. Mehr Umsatz. Zufriedene Kunden.

CONTEXT IS KING AND DEVICE IS QUEEN! IN DER MOBILEN MARKENKOMMUNIKATION. 21TORR Interactive GmbH

Transcend StoreJet Cloud

IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication

3. Verbraucherdialog Mobile Payment

Aktuelle Probleme der IT Sicherheit

Smartphone. Fingerprint. Bluetooth 4.0 LE RFID. Pincode. Elektronisches Türschloss. KeyApp. Keyless Entry. NFC-fähig

Mobile Apps in a Nutshell. Martin Straumann, Stv. BU Leiter Microsoft Technologien

Sicheres Banking im Internet. Kundenveranstaltung Mittwoch

NFC - Near Field Communication. NFC innoviert nicht nur das elektronische Bezahlen Beat Morf, Albis Technologies AG

Mobile Business für Lager und Logistik. TOUGHBOOK und TOUGHPAD Lösungen für Gabelstapler

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets

Abhörsichere Kommunikation SecuVOICE & SecuSMS

Die wichtigsten Features

Verschlüsselungssoftware für eine freie, demokratische Gesellschaft

Sicherheit im Online-Banking. Verfahren und Möglichkeiten

Der Man-in-the-Middle Fälschungs-Angriff auf das itan Verfahren. Bernd Borchert, November 2008

Windows 10. Alles neu und doch vertraut

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

Oder über den Schnellzugriff, auf der rechten Seite unten: Alle für E-Book-Reader oder Tablets kompatible Dateien (im epub-format) werden angezeigt

Vertrauensfrage: Warum mobile IT in Behörden und Unternehmen so problematisch ist

FAQ zum Thema

Codatex Hainzlmaier GmbH & Co.KG Ischlerbahnstraße 15 A-5020 Salzburg. ZE03 Configurator

SIGS Security Interest Group Switzerland Trends in Mobile Authentication

Transkript:

Die Sicherheit von Smartphones als Fernsteuerungsgeräte für IoT Devices Dr. Bernd Borchert (Univ. Tübingen)

Beispiel Was macht diese Frau hier gerade? Antwort: Sie öffnet gerade ihre Wohnungstür im 3000 km entfernten Berlin, für ihre Schwester, die angerufen hatte und jetzt vor der Tür steht.

Das Smartphone als Auslösegerät eine große Versuchung! Smartphone als Auslösegerät: - sehr naheliegend. Eine große Versuchung für IoT Anbieter. Aber damit noch ein Problem mehr im IoT Gesamtsystem: Smartphone-Trojaner Zwei Standard-Fragen von Leuten, denen dieses Problem zum ersten Mal bewusst wird: 1. Können Smartphone-Trojaner denn überhaupt in das Smartphone-Betriebssystem hineinkommen? 2. Kann denn nicht die App entdecken, dass das Smartphone gerootet/befallen ist? Problem-Verschärfung: Alles auf einem Gerät: auch Passwort und/oder Biometrie werden auf dem Smartphone eingegeben Banking/Payment: die gleiche Versuchung, die gleichen Probleme. Die Banken geben aber der Versuchung nach (EU PSD2 wurde unter Einfluss der Banken so aufgeweicht, dass Smartphone-Lösungen jetzt erlaubt sind) Kann man das Smartphone denn nicht sicherer machen? nächste Seiten

App-TAN + Secure Element (SE) - SIM, e-sim, embedded Secure Element, Micro-SD - Schlüssel ist zwar sicher untergebracht, aber er kann missbraucht werden: Der Trojaner lässt das SE einfach eine erfundene/manipulierte Transaktion signieren. Das ist möglich, weil ein Trojaner das SE heimlich ansprechen kann und gleichzeitig die Peripherie und vor allem das Display kontrolliert. - Plazierung des geheimen Schlüssels auf dem SE ist problematisch, nur mit Trust-Servern möglich: - bei SIM und e-sim mit Trust-Servern der Telkos. Die Telkos sind aber teilweise schon aus den Trust-Server Projekten ausgestiegen (Deutsche Telekom Ausstieg Okt. 2016) - bei embedded SE's mit Trust-Servern der Smartphone-Hersteller. Problem: nicht alle Smartphones haben SE, außerdem Variantenvielfalt.

App-TAN + Trusted Execution Environment (TEE) - wie Secure Element, aber mit Kontrolle der Peripherie/Display (indem die Hauptprozessoren des Smartphones in einem vom Betriebssystem unerreichbaren sicheren Modus arbeiten) - ziemlich sicher, abhängig von Typ/Implementierung - Kinibi (Trustonic) hat z.b. ca. 300.000 lines of code --> Komplexitätsproblem - Trust-Server Problematik, siehe SE - Verbreitung schwach

App-TAN + Biometrie Fingerprint, Selfie, Voice, etc. - Fall A: Biometrie wird beim Server geprüft: - Datenschutz-Problem (bei Banken etc.) - Unsicher: Trojaner macht sich eine Kopie der Biometrie-Datei und kann sich ab dann als der Kunde ausgeben. Auch bei Voice möglich: Voice-Cloning (seit 2001) - nach Abhören kein Zurücksetzen/Neuvergabe wie beim Passwort möglich - Fall B: Biometrie wird auf dem Smartphone geprüft: - Reicht die Sicherheit? Kann man einem Smartphone-Hersteller so vertrauen? - Falls kein getrenntes Biometrie-Modul mit privatem Schlüssel: Was hindert einen Trojaner daran, einfach dem Bankserver gegenüber zu behaupten, die Biometrie sei positiv geprüft worden?

Fazit App-TAN Erweiterungen Fazit: Auch die Sicherheits-Verbesserungen Secure Element und/oder Biometrie bringen keine wasserdichte Sicherheit gegenüber Smartphone-Trojanern. Ein externes Sicherheits-Token wäre sehr sinnvoll, vor allem bei relevanten Auslöseaktionen. Token sollte vom Smartphone aus per Funk (NFC, Bluetooth) erreichbar sein Token sollte Display haben Token im Scheckkarten-Format wäre ideal Gibt es das?

Display-TAN Karte mit Display und Bluetooth Sicher UND mobil - sicher, weil die TAN-Erzeugung sich auf der Karte abspielt, nicht auf dem Smartphone - mobil, weil der Bankkunde nichts anderes braucht als das, was er sowieso dabei hat - wg. Bluetooth (statt NFC) geht das mit praktisch allen neueren Smartphones und Laptops - Video: https://www.youtube.com/watch?v=wgqs5ziprzm Variante Karte ohne Display und mit NFC: wesentlich billiger, aber nicht so sicher, und geht nicht mit iphones.

Usability-Vorteile von Smartphone+Karte Vergleich Smartphone vs. Smartphone+Karte Sicherheit? keine Frage - die Kartenlösung ist wesentlich sicherer. Aber was ist mit der Usability? ist nicht die Smartphone Lösung viel bequemer? - auf den ersten Blick ja, denn die Karte muss jedesmal rausgeholt werden - auf den zweiten Blick: es gibt kein Pairing des Smartphones - das hat handfeste Usability-Vorteile: - keine Initialisierung des Smartphones - App-Download genügt - Gebrauch mit wechselnden mobilen Endgeräten möglich (Privat-Handy, Firmen-Handy, Tablet, Laptop,...) - bei neuen oder spontan ausgeliehenen Geräten: App-Download genügt keine Initialisierung - bei Smartphone-Diebstahl/Verlust/Verkauf/Weitergabe: keine Sorge um den geheimen Schlüssel

Zusammenfassung Smartcard vs. Smartphone Smartphones als IoT Auslösegeräte sind unsicher, auch mit Biometrie und/oder Secure Elements Relevante Aktionen sollten mit einem externen Token bestätigt werden (norddeutsch ausgedrückt: Besser ist das! )!

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback