Abschlussarbeiten
Im Rahmen unserer Forschungsarbeiten betreuen wir regelmäßig Abschlussarbeiten (Bachelor, Master, Diplom) im Themengebiet IT-Sicherheit. Sie sind Student und möchten im Rahmen Ihrer Abschlussarbeit zu innovativen Themen der IT-Sicherheit forschen? Dann scheuen Sie sich nicht, mit uns in Kontakt zu treten. Wir freuen uns auf Ihre Anfrage!
Ausschreibungen für Abschlussarbeiten
Mobile Endgeräte auf Basis des iOS-Betriebssystems unterliegen strikten Vorgaben seitens Apple. Diese Restriktionen werden umgesetzt, indem lediglich von Apple freigegebene Software installiert werden darf. Mittels eines so genannten Jailbreaks ist es möglich, diese Nutzungsbeschränkungen des iOS-Betriebssystems zu entfernen. Ein Jailbreak ermöglicht es, administrative Rechte auf einem mobilen Endgerät zu erlangen und Software zu installieren, die nicht von Apple signiert bzw. freigegeben wurde.
Häufig werden mobile Endgeräte einem Jailbreak unterzogen, um Apps zu installieren, die nicht aus dem offiziellen Apple AppStore stammen. Dabei handelt es sich meist um raubkopierte bzw. gecrackte Apps, die ursprünglich zwar aus dem AppStore stammen, dann aber kostenfrei über alternative Plattformen zur Installation angeboten werden. Eine der bekanntesten Plattformen für App-Piraterie war Hackulous [1], bis dieser Dienst Ende 2012 eingestellt wurde. Seitdem erfreuen sich neue Plattformen wie AppCake [2], iFunbox [3] oder vShare [4] zunehmender Beliebtheit. Der asiatische Dienst KuaiYong [5,6] stellt ebenfalls zahlreiche raubkopierte Apps bereit, und erfordert zur Installation der Apps keinen Jailbreak.
Obwohl diese freien Angebote – ungeachtet rechtlicher Konsequenzen – zunächst attraktiv wirken, resultiert aus deren Nutzung ein erhöhtes technisches Risiko: Apps können vor der Freigabe in den inoffiziellen Stores modifiziert und um schadhafte Funktionen erweitert worden sein. Eine zunächst harmlose App könnte beispielsweise um Schadfunktionen erweitert worden sein, um persönliche Daten des Anwenders auszulesen (Nachrichten, Voicemails, E-Mails etc.) und diese ins Internet zu übertragen. Da die Sicherheitsprüfungen von Apple’s AppStore entfallen, stehen Nutzer raubkopierter Apps in einem uneingeschränkten Vertrauensverhältnis mit teilweise dubiosen bzw. unbekannten Anbietern.
Im Rahmen Ihrer Abschlussarbeit untersuchen Sie die Apps inoffizieller iOS-AppStores auf schadhafte Veränderungen. Dazu entwickeln Sie ein Framework zur statischen Analyse und vergleichen offizielle App-Binaries mit deren raubkopierten Versionen.
Voraussetzungen
Kenntnisse in C/Objective-C (ggf. ARM Assembler), Hintergründe zur iOS-Plattform
Apples Mobilgeräte, wie das iPhone und das iPad, erfreuen sich nicht nur im Consumer-Bereich immer größerer Beliebtheit, sondern erhalten auch mehr und mehr Einzug in Unternehmen. Aufgrund des mittlerweile hohen Verbreitungsgrads von iPhones und iPads, sowie der Sensitivität, der auf diesen Geräten verarbeiteten Daten, ergeben sich hohe Sicherheitsanforderungen an das iOS Betriebssystem sowie die darauf betriebenen Apps.
Während das iOS-Betriebssystem bereits zahlreiche Sicherheitsmechanismen bereitstellt, um die Ausnutzung von Schwachstellen zu erschweren, gibt es für Endbenutzer kaum Möglichkeiten, den Zugriff installierter Apps auf personenbezogene Daten einzuschränken. Obwohl die installierten Apps in isolierten Ausführungsumgebungen („Sandbox“) betrieben werden, ermöglichen Funktionen der offiziellen API den Zugriff auf zahlreiche persönliche Informationen (Kontakte, Kalender, Aufenthaltsort des Nutzers etc.).
Um einen möglicherweise unsachgemäßen Zugriff einer App auf persönliche Nutzerinformationen zu identifizieren, wird jede App von Apple geprüft, bevor sie im AppStore bereitgestellt wird (AppStore-Eingangskontrolle). Ob eine App also unberechtigt auf persönliche Informationen zugreifen kann, hängt allein von der Qualität der AppStore-Eingangskontrolle ab.
Im Rahmen Ihrer praktischen Abschlussarbeit erweitern Sie eine Lösung, die das iOS-Betriebssystem um verschiedene Sicherheits- und Kontrollfunktionen ergänzt und dadurch eine bessere Absicherung des Systems sowie eine bessere Überwachung installierter Apps ermöglicht. Ein Benutzer wird dadurch in die Lage versetzt, durch die Vergabe von Berechtigungen auf dem Endgerät den Zugriff einzelner Apps auf einzelne API-Funktionen fein granular einzuschränken.
Voraussetzungen
Kenntnisse in C/Objective-C, Hintergründe zur iOS-Plattform
Apples Mobilgeräte, wie das iPhone und das iPad, erfreuen sich nicht nur im Consumer-Bereich immer größerer Beliebtheit, sondern erhalten auch mehr und mehr Einzug in Unternehmen. Aufgrund des mittlerweile hohen Verbreitungsgrads von iPhones und iPads, sowie der Sensitivität, der auf diesen Geräten verarbeiteten Daten, ergeben sich hohe Sicherheitsanforderungen an das iOS Betriebssystem sowie die darauf betriebenen Apps.
Während das iOS-Betriebssystem bereits zahlreiche Sicherheitsmechanismen bereitstellt, um die Ausnutzung von Schwachstellen zu erschweren, gibt es für Endbenutzer kaum Möglichkeiten, den Zugriff installierter Apps auf personenbezogene Daten einzuschränken. Somit sind Anwender stets dem Restrisiko ausgesetzt, dass mobile Apps über die offizielle API unberechtigt auf persönliche Informationen (Kontakte, Kalender, Aufenthaltsort des Nutzers etc.) zugreifen und diese an Dritte übermitteln. Ob eine App letztendlich unberechtigt auf persönliche Informationen zugreifen kann, hängt von der Qualität der AppStore-Eingangskontrolle ab. Da dieses Prüfverfahren nicht öffentlich dokumentiert ist, sind weder die eingesetzten Methoden, noch die Prüfkriterien bekannt. Somit besteht die Gefahr, dass unberechtigte Zugriffe auf personenbezogene Daten im Rahmen dieses Prüfverfahrens nicht erkannt werden. Dies könnte beispielsweise dann der Fall sein, wenn die entsprechende Schadroutine innerhalb der App verschlüsselt oder kodiert ist und erst zur Laufzeit in Folge bestimmter Ereignisse ausgelöst wird.
Um solche Schadroutinen innerhalb mobiler Apps zu erkennen, soll eine Umgebung geschaffen werden, die eine dynamische App-Analyse ermöglicht. Im Rahmen Ihrer praktischen Abschlussarbeit entwerfen und implementieren Sie dabei eine Teilkomponente, um Eingaben an mobile Apps mittels Software zu simulieren (Objective-C Runtime, Library Injection). Dabei werden in erster Linie Bildschirmberührungen simuliert, um gezielt durch die einzelnen Funktionsbereiche einer App zu navigieren. Darüber hinaus werden auch Ereignisse der übrigen Sensoren (Näherungssensor, Beschleunigungssensor, Helligkeitssensor, GPS-Modul etc.) mittels Software simuliert.
Voraussetzungen
Kenntnisse zu C/Objective-C sowie der Objective-C Runtime, Hintergründe zur iOS-Plattform
Betreute Abschlussarbeiten
| STATUS | ART | Thema | Student | Hochschule |
|---|---|---|---|---|
| Abgeschlossen | Bachelor | Entwurf und Implementierung eines Konzepts zur Absicherung mobiler Geräte am Beispiel von Apple iOS | Markus Troßbach | Hochschule Heilbronn |
| Abgeschlossen | Bachelor | Analyse mobiler Apps auf Basis von Windows Phone 7 hinsichtlich der Übertragung personenbezogener Daten ohne Zustimmung des Nutzers | Nicole Rieß | Hochschule Heilbronn |
| Abgeschlossen | Bachelor | Entwurf und Implementierung eines Werkzeugs zur Unterstützung von Sicherheitsüberprüfungen von Adobe Flash Komponenten | Armin Eckert | Hochschule Heilbronn |
| Abgeschlossen | Bachelor | Entwurf einer grafischen Oberfläche zur Laufzeitmanipulation von iOS Apps | Sebastian Stocker | Hochschule Heilbronn |
| Abgeschlossen | Master | Dynamische Analyse von Apple iOS Apps – Überwachung datenschutzrelevanter Vorgänge in Smartphone-Anwendungen | Christoph Settgast | Universität Erlangen |
| Abgeschlossen | Master | Automatisierte Sicherheitsanalyse mobiler Apps – Ein System zur automatischen Ausführung und Analyse von Apple iOS Apps | Andreas Weinlein | Universität Erlangen |
| Abgeschlossen | Bachelor | Halbautomatisierte Sicherheitsüberprüfungen von Apple iOS Apps | Alexandru Dina | Hochschule Heilbronn |
| Abgeschlossen | Master | Planung und Entwicklung einer iOS Schadsoftware unter Berücksichtigung des Apple App Store Freigabeverfahrens für mobile Apps | Markus Troßbach | Hochschule Heilbronn |
| Abgeschlossen | Master | Retrofitting iOS Apps with Transport Layer Security Feedback | Markus Klement | Ruhr-Universität Bochum |
| Abgeschlossen | Master | Mobile Device Fingerprinting am Beispiel von Apples iOS | Tobias Becker | Universität Erlangen |
| Abgeschlossen | Bachelor | Security Analysis of Data at Rest in iOS Mobile Applications | Quoc-Cuong Bui | Universität Erlangen |
| Abgeschlossen | Master | Designing and Implementing a Remote Exploitation Framework for Apple iOS Apps | Fabian Grümer | Universität Erlangen |
| In Bearbeitung | Master | Automatisierte Analyse und Inventarisierung von iOS Apps auf Basis des DiOS Frameworks | Ruben Larisch | Universität Erlangen |