Aktuelles

Auf dieser Seite finden Sie aktuelle Meldungen zu unseren Arbeits- und Forschungsergebnissen sowie Termine für unsere Veranstaltungen.

Oktober 30 2014

heise Security Webinar: Apps im Griff – so kontrollieren Sie den Smartphone-Wildwuchs

Gerade im Firmenumfeld stellen Smartphones und Tablets eine Gefahr für sensible Daten dar. Administratoren tun sich schwer damit, zu entscheiden, welche Apps ein Risiko sein könnten und Entwickler wissen nicht so recht, wie sie die Integrität der Plattform verifizieren, auf der ihre App läuft. Das heise Security Webinar am 30. Oktober mit Andreas Kurtz erklärt Ihnen nicht nur die Gefahren, sondern auch, wie man Smartphones und Apps richtig testet, um eine saubere Policy zu erstellen und umzusetzen.

Dabei stehen unter anderem folgende Fragestellungen im Vordergrund:

  • Wie kann geprüft werden, ob App-Daten auch bei Verlust bzw. Diebstahl eines mobilen Endgeräts weiterhin geschützt sind?
  • Wie kann festgestellt werden, ob Daten bei der Übertragung in nicht-vertrauenswürdigen Netzwerken (bspw. WLAN Hotspots) ausreichend geschützt sind?
  • Welche Risiken resultieren aus Schadsoftware oder bösartigen Apps?
  • Wie zuverlässig sind Methoden zur Jailbreak-Erkennung und wie können Erkennungsroutinen analysiert und umgangen werden

Weitere Informationen sowie das Anmeldeformular finden Sie unter Apps im Griff – so kontrollieren Sie den Smartphone-Wildwuchs.


Sept 18 2014

Bösartige Apps: Apple behebt Schwachstellen in iOS 8

In den letzten Monaten haben wir uns im Rahmen unserer Forschungsarbeiten unter anderem mit der Frage beschäftigt, inwieweit iOS Drittanbieter-Apps in der Lage sind, unbemerkt sensitive Nutzerinformationen auszulesen oder Nutzer dauerhaft zu überwachen. In diesem Zusammenhang haben wir diverse Defizite in der iOS App Sandbox festgestellt. Einige dieser Befunde, die wir schon vor längerer Zeit an Apple gemeldet haben, wurden gestern mit der Veröffentlichung von iOS 8 behoben. Apps waren bis iOS 8 beispielsweise in der Lage, die Apple-ID eines Nutzers oder Kontaktdetails kürzlich kontaktierter Personen auszulesen. Darüber hinaus konnte jede beliebige App feststellen, wann ein Nutzer wie lange welche anderen Apps nutzt.

Einige der von uns an Apple gemeldeten Befunde wurden allerdings auch in iOS 8 noch nicht behoben. So können Drittanbieter-Apps weiterhin ermitteln, welche anderen Apps auf einem Gerät installiert sind, welche Inhalte über die Zwischenablage kopiert werden, oder wann ein Nutzer wie lange mit welcher Rufnummer telefoniert.

Bis Apple auch diese Probleme behoben hat, empfehlen wir, Drittanbieter-Apps stets vollständig zu beenden. Dies erreicht man durch nach oben wischen des entsprechenden App-Screenshots in der Multitasking-Ansicht. Apps, die auf diese Weise beendet werden, können anschließend nicht länger das Telefonieverhalten eines Nutzers oder über die Zwischenablage ausgetauschte Inhalte überwachen.

Darüber hinaus kann auch die neu in iOS 8 hinzugekommene Funktion zur Überwachung der Batterienutzung hilfreich sein. Sollten sich in dieser Liste Apps mit einer ungewöhnlich hohen Hintergrundaktivität finden, so kann dies ein Hinweis auf mögliche Überwachungsfunktionen sein. Die Funktion zur Überwachung der Batterienutzung findet man in den Einstellungen unter Allgemein - Benutzung – Batterienutzung.

Weitere Informationen finden sich in den Apple Security Update Release Notes und in in einem Blog-Eintrag von Andreas Kurtz.


Sept 6 2014

c't-Artikel zu iOS Jailbreaks

In der seit heute erhältlichen Ausgabe des c't Magazins (c't 20/2014) erläutern wir in zwei Artikeln die Funktionsweise und Risiken von Jailbreaks, zeigen wie Apps versuchen Jailbreaks zu erkennen und demonstrieren Schritt für Schritt, wie solche Erkennungsroutinen meist relativ einfach deaktiviert werden können.

Weiterführende Informationen finden sich unter http://heise.de/-2308211 bzw. http://heise.de/-2307493.


Juni 30 2014

Apple behebt E-Mail-Sicherheitsprobleme in iOS 7.1.2

Die im April von Andreas Kurtz gemeldeten Sicherheitsprobleme beim Umgang mit E-Mail-Anhängen werden in dem heute von Apple veröffentlichten iOS 7.1.2 adressiert. Während E-Mail-Anhänge der iOS Mail App in Vorgängerversionen entgegen der Aussage von Apple unverschlüsselt gespeichert wurden, werden die betroffenen Dateien nun mit den iOS Data Protection Schutzmechanismen geschützt.

Weiterführende Informationen finden sich in den Apple Security Update Release Notes.

Mai 21 2014

Unique? Fingerprinting von Apple iOS Geräten

Bis zur Veröffentlichung des iOS-Betriebssystems in Version 7 standen mobilen Apps diverse Hardware-Merkmale zur Verfügung, um darüber mobile Endgeräte eindeutig zu identifizieren. Zu diesen Merkmalen zählten beispielsweise der sogenannte "Unique Device Identifier" (UDID) oder die Hardware-Adresse des WLAN-Moduls (WiFi MAC). Beide Merkmale wurden u.a. von Werbenetzwerken häufig dazu verwendet, um ein Nutzerprofil bestehend aus persönlichen Daten und Verhaltensmustern zu erstellen. Diese Problematik wurde seitens Apple erkannt und mit der Veröffentlichung von iOS 7 adressiert, indem der Zugriff auf UDID und die WiFi MAC eingeschränkt wurde. Im Rahmen eines Forschungsprojekts möchten wir nun herausfinden, ob es auch ohne diese Hardware-Merkmale weiterhin möglich ist, ein entsprechendes Nutzerprofil zu erstellen.

Um dieser Fragestellung nachzugehen, haben wir die App "Unique?" entwickelt, die die für Apps frei zugänglichen Informationen des iOS-Betriebssystems auswertet und daraus einen Fingerabdruck berechnet. Dabei werden unter anderem das Gerätemodell, die Systemeinstellungen und installierte Apps mit einbezogen. Getreu dem Motto "Zeige mir Deine Apps, und ich sag Dir, wer Du bist" möchten wir so feststellen, inwieweit unterschiedliche iOS-Gerätekonfigurationen zu einem individuellen bzw. eindeutigen Fingerabdruck führen. Auf Wunsch vergleicht die App den eigenen Fingerabdruck anschließend unmittelbar mit den Fingerabdrücken anderer Nutzer und zeigt den Grad der Eindeutigkeit an. Bei Interesse kann die App über folgende URL kostenlos aus dem Apple App Store heruntergeladen werden:

https://itunes.apple.com/de/app/unique/id835879646?mt=8

Berichterstattung:

  • iPhone Ticker: "Oh mein Gott! So eindeutig lässt sich jedes iPhone zuordnen"
  • Chip Beste Apps, Unique? iPhone-App


April 23 2014

Unverschlüsselte E-Mail-Anhänge in Apple iOS 7

Das iOS-Betriebssystem stellt umfangreiche Verschlüsselungsmechanismen bereit, um Dateiinhalte unter Verwendung des Geräte-Passcodes zu verschlüsseln. Laut Aussage von Apple sollen unter Verwendung dieser Verschlüsselungsmechanismen standardmäßig u.a. die E-Mail-Dateianhänge innerhalb der iOS Mail App geschützt werden.

Im Rahmen seiner Forschungstätigkeiten fand Andreas Kurtz allerdings heraus, dass Dateianhänge innerhalb der iOS Mail App seit iOS 7 nicht mehr verschlüsselt werden. Dieses Sicherheitsproblem verdeutlicht einmal mehr, dass Herstelleraussagen im Hinblick auf Sicherheitsmechanismen nicht uneingeschränkt vertraut werden sollte.

Berichterstattung:

  • Heise Online: "iOS7 reduziert Schutz für E-Mail-Anhänge"
  • Chip: "Mailanhänge in iOS 7: Daten sind unverschlüsselt"
  • CNN: "IPhone bug leaves emails vulnerable"
  • TheRegister: "Researcher says Apple fibs about crypto for iOS email attachments"
  • ZDNet: "iOS 7 doesn't encrypt email attachments"
  • CNET: "iOS 7 reportedly not encrypting email attachments"
  • MacRumors: "iOS 7 Security Flaw Leaves Stored Email Attachments Unencrypted "
  • The Hacker News: "Apple iOS 7 Updates Silently Remove Encryption for Email Attachments"
  • Morning News USA: "iOS 7 Security Flaw Found, Stored Email Attachments Unencrypted"
  • n-tv: "iOS 7.1.1 hat Sicherheitsprobleme"
  • N24: "Sicherheitslücken bei iOS 7 entdeckt"


Jan 24 2014

Schwachstelle in Telekom App

Die Deutsche Telekom AG stellt eine mobile App namens "HotSpot Login" bereit, die den Verbindungsaufbau zu Telekom HotSpots vereinfachen soll. Laut der App-Beschreibung können "Telekom Mobilfunkkunden ihre HotSpot-Zugangsdaten mit Hilfe [dieser] App automatisch einrichten". Andreas Kurtz konnte gravierende Sicherheitsmängel in der Implementierung der automatischen HotSpot-Einrichtung ausfindig machen, die es grundsätzlich jeder mobilen App ermöglichen, die HotSpot-Zugangsdaten sowie die Telefonnummer eines Telekom Mobilfunkkunden zu ermitteln.

Weiterführende Informationen:


Sept 23 2013

c't-Artikel zur Sicherheitsanalyse von Apple iOS Apps

In der seit heute erhältlichen Ausgabe des c't Magazins (c't 21/2013) beschreiben wir Werkzeuge und Methoden zur Sicherheitsanalyse und Manipulation von Apple iOS Apps. Unter anderem werden darin neben allgemeinen Risiken für mobile Apps auch unser Werkzeug Snoop-it, sowie verschiedene Anwendungsfälle und Praxisbeispiele näher erläutert.

Weiterführende Informationen finden sich unter http://www.heise.de/ct/inhalt/2013/21/170/.


Sept 20 2013

Apple behebt Hotspot-Sicherheitsmängel in iOS 7

Das heute von Apple veröffentlichte iOS 7 behebt eine von Andreas Kurtz identifizierte Schwachstelle. Der Fehler ermöglichte es einem Angreifer, den von einem iOS-Gerät bereitgestellten "Personal Hotspot" zu kompromittieren.

Der behobene Fehler ist auf Defizite bei der Generierung von Standardpasswörtern zurückzuführen. In früheren Versionen von iOS wurde zur Generierung eines Hotspot-Passworts lediglich eine aus 1.842 Einträgen bestehende Wortliste verwendet. In Konsequenz war ein Angreifer in der Lage, das verwendete Passwort auf Basis eines mitgeschnittenen WPA2-Handshakes innerhalb weniger Sekunden zu erraten.

Weiterführende Informationen:

Berichterstattung:

  • Forbes: "Apple's iPhone Password Security Broken In 24 Seconds"
  • The Register: "Apple's screw-up leaves tethered iPhones easily crackable"
  • ars technica: "New attack cracks iPhone autogenerated hotspot passwords in seconds"
  • ZDNet: "Researchers able to predict Apple iOS-generated hotspot passwords"
  • Heise online: "Security issue in iOS Personal Hotspot"
  • Slashdot: "Researchers Crack iOS Mobile Hotspot Passwords In Less Than a Minute"
  • PC Magazine: "Researchers Crack iOS Personal Hotspot Passwords"
  • engadget: "Researchers able to predict iOS-generated hotspot passwords in less than a minute"
  • macrumors: "Researchers Crack iOS-Generated Hotspot Passwords in 50 Seconds"
  • Sophos Labs: "Anatomy of a cryptoglitch - Apple's iOS hotspot passphrases crackable in 50 seconds"
  • The Guardian: "iPhone passwords security"


Juli 29 2013

Werkzeug zur Sicherheitsanalyse von iOS Apps veröffentlicht

Bislang existieren kaum Vorgehensbeschreibungen oder Werkzeuge zur Sicherheitsanalyse von iOS Apps. Überprüfungen beschränken sich daher häufig auf die Suche nach Schwachstellen in den zugehörigen Backend-Schnittstellen einer App. Defizite innerhalb der eigentlichen mobilen App, bleiben jedoch vielfach unentdeckt.

Unser seit heute kostenlos verfügbares Werkzeug Snoop-it ermöglicht eine dynamische Analyse von iOS Apps über eine einfach zu bedienende Benutzeroberfläche. Mithilfe von Snoop-it lassen sich Sicherheitsüberprüfungen vereinfachen, sowie das Auffinden von Schwachstellen innerhalb von iOS Apps erleichtern.

Weiterführende Informationen finden sich auf der zugehörigen Projektseite unter https://code.google.com/p/snoop-it/.

Eine Beispielanalyse einer vermeintlich sicheren "Password Safe" App findet sich im Blog-Eintrag How to Easily Spot Broken Cryptography in iOS Applications.


Juni 05 2013

Apple behebt kritische Schwachstelle in Mac OS X

Das heute von Apple veröffentlichte OS X Mountain Lion 10.8.4 behebt eine von Tobias Klein identifizierte Schwachstelle. Der Fehler ermöglicht einem Angreifer das Ausführen von beliebigem Schadcode auf einem Mac.

Bei dem behobenen Fehler handelt es sich um eine Buffer-Overflow-Schwachstelle bei der Verarbeitung von Bilddateien im PICT-Format (CVE-2013-0975). Bereits das Öffnen einer manipulierten Bilddatei bzw. einer speziell präparierten Webseite genügte daher, um das zugrundeliegende System mit Schadsoftware zu infizieren oder Daten zu stehlen.

Weiterführende Informationen finden sich unter http://support.apple.com/kb/HT5784.


Mai 14 2013

Adobe behebt kritische Schwachstelle in Adobe Reader und Acrobat

Die heute von Adobe veröffentlichten Updates für Adobe Reader und Adobe Acrobat beheben u.a. eine von Tobias Klein identifizierte Schwachstelle (CVE-2013-2727). Der Fehler ermöglicht einem Angreifer das Ausführen von beliebigem Schadcode.

Bei dem behobenen Fehler handelt es sich um eine Integer-Overflow-Schwachstelle bei der Verarbeitung von PDF-Dateien. Bereits das Öffnen einer manipulierten PDF-Datei genügte daher, um das zugrundeliegende System mit Schadsoftware zu infizieren oder Daten zu stehlen.

Weiterführende Informationen finden sich unter http://www.adobe.com/support/security/bulletins/apsb13-15.html.


März 22 2013

Russische Ausgabe des "Bug Hunter's Diary" erschienen

Seit heute ist ein neues Buch von Tobias Klein erhältlich. Es handelt sich dabei um die russische Fassung des bereits 2011 bei No Starch Press (San Francisco, USA) erschienenen Titels "A Bug Hunter's Diary - A Guided Tour Through the Wilds of Software Security".


März 14 2013

Apple behebt kritische Schwachstelle in Mac OS X

Das heute von Apple veröffentlichte OS X Mountain Lion 10.8.3 behebt eine von Tobias Klein identifizierte Schwachstelle. Der Fehler ermöglicht einem Angreifer das Ausführen von beliebigem Schadcode auf einem Mac.

Bei dem behobenen Fehler handelt es sich um eine Memory-Corruption-Schwachstelle bei der Verarbeitung von PDF-Dateien. Bereits das Öffnen einer manipulierten PDF-Datei genügte daher, um das zugrundeliegende System mit Schadsoftware zu infizieren oder Daten zu stehlen.

Weiterführende Informationen finden sich unter http://support.apple.com/kb/HT5672.


März 08 2013

AppMinder: Neues Werkzeug zur fortgeschrittenen Jailbreak-Erkennung

Gängige Methoden der Jailbreak-Erkennung können mittels bekannter Techniken und frei verfügbarer Werkzeuge sehr einfach umgangen werden. Unser Forschungsprojekt AppMinder Jailbreak Detection ermöglicht es auf einfache Art, eigenentwickelte Apple iOS Apps um fortgeschrittene Methoden zur Jailbreak-Erkennung zu erweitern.

Weitere Informationen finden Sie unter http://appminder.nesolabs.de.


März 06 2013

Unsere nächsten Vorträge zur Sicherheit mobiler Apps

In diesem Sommer findet erneut die "heise Security Tour 2013" statt und beschäftigt sich in diesem Jahr mit dem Thema "Sicheres Mobile Device Management - BYOD ohne Reue".

Andreas Kurtz demonstriert im Vortrag "Alle Jahre wieder: (Un)sicherheit mobiler Apps" wiederkehrende Sicherheitsprobleme in mobilen Apps. Darüber hinaus zeigt er, wie Apps im Vorfeld auf sicherheitskritische Funktionen getestet werden können, und stellt aktuelle Forschungsergebnisse zur fortgeschrittenen Jailbreak-Erkennung vor.

Stationen der heise Security Tour 2013 sind Hamburg (29. Mai 2013), Köln (04. Juni 2013), Stuttgart (11. Juni 2013) und München (13. Juni 2013). Weitere Informationen zum Programm sowie Anmeldemöglichkeiten finden Sie auf den Seiten der heise Security Tour.

Darüber hinaus findet vom 05. Juni bis zum 07. Juni 2013 in Karlsruhe der Entwicklertag 2013, eine Konferenz für Softwareentwicklung, statt. Andreas Kurtz demonstriert in einem Vortrag typische Sicherheits- und Datenschutzprobleme mobiler Apps am Beispiel von Apples iOS. Anhand einiger identifizierter Schwachstellen in weit-verbreiteten und populären Apps, erläutert er häufige Programmier- und Designfehler, die immer wieder zu gravierenden Sicherheitsproblemen in mobilen Apps führen und diskutiert Gegenmaßnahmen zur Entwicklung sicherer mobiler Apps.


Sept 28 2012

Vorträge zur Sicherheit mobiler Apps auf internationalen Konferenzen

Im November demonstriert Andreas Kurtz auf verschiedenen internationalen Konferenzen aktuelle Forschungsergebnisse zur Sicherheit mobiler Apps.
Im Rahmen seiner Vorträge erläutert er zunächst die Hintergründe und erforderlichen Techniken zur Laufzeitmanipulation von iOS Apps. Anhand einiger Praxisbeispiele zeigt er anschließend, wie die Laufzeitmanipulation das Reverse Engineering von Apps erleichtern kann und welche neuen Bedrohungen daraus für mobile Apps resultieren.

Unsere nächsten Konferenzbeteiligungen:


Sept 15 2012

Chinesische Ausgabe des "Bug Hunter's Diary" erschienen

Seit heute ist ein neues Buch von Tobias Klein erhältlich. Es handelt sich dabei um die chinesische Fassung des bereits 2011 bei No Starch Press (San Francisco, USA) erschienenen Titels "A Bug Hunter's Diary - A Guided Tour Through the Wilds of Software Security".


Juni 23 2012

Japanische Ausgabe des "Bug Hunter's Diary" erschienen

Seit heute ist ein neues Buch von Tobias Klein erhältlich. Es handelt sich dabei um die japanische Fassung des bereits 2011 bei No Starch Press (San Francisco, USA) erschienenen Titels "A Bug Hunter's Diary - A Guided Tour Through the Wilds of Software Security".


Mai 18 2012

Radio-Interview zur Sicherheit von Smartphones

Am Rande der heise Events-Konferenz in München wurde Andreas Kurtz zur Sicherheit von Smartphones und darauf betriebener Apps interviewt.

Der Beitrag des Radiosenders M94.5 (Redakteur: Benjamin Maldoner) kann hier nachträglich angehört werden: Beitrag abspielen


Feb 13 2012

Wie (un)sicher sind mobile Apps? - Vorträge auf der heise Event-Roadshow

Im Frühjahr 2012 findet erneut die heise Events-Konferenz "iPad, iPhone und Android im Enterprise-Umfeld" statt. Darin informieren unabhängige Spezialisten über aktuelle Konzepte und Best-Practices u.a. zu den Themenschwerpunkten Integration und Managebarkeit mobiler Geräte, App-Verteilung, Virtualisierung, Inventarisierung etc.

Andreas Kurtz referiert auf der Konferenz zum Thema "Sicherheit mobiler Apps". Anhand einiger Schwachstellen in weitverbreiteten und populären Apps erläutert er häufige Programmier- und Designfehler, die immer wieder zu gravierenden Sicherheitsproblemen in mobilen Apps führen.

Stationen der heise Event-Roadshow sind Berlin (17. April 2012), Hamburg (19. April 2012), Köln (24. April 2012) und München (16. Mai 2012). Weitere Informationen zum Programm sowie Anmeldemöglichkeiten finden Sie auf den Seiten von heise Events.


Nov 8 2011

A Bug Hunter's Diary - Heute erschienen

Seit heute ist das neue Buch von Tobias Klein als Taschenbuch und im Ebook-Format erhältlich. Das bei No Starch Press (San Francisco, USA) erschienene Buch trägt den Titel "A Bug Hunter's Diary - A Guided Tour Through the Wilds of Software Security".

Es handelt sich dabei um eine überarbeitete englische Fassung des bereits 2010 im dpunkt.verlag erschienenen "Tagebuch eines Bughunters".


Okt 12 2011

Apple behebt kritische Schwachstellen in iOS

Das heute von Apple veröffentlichte iOS 5 behebt vier durch Tobias Klein identifizierte Schwachstellen. Die Fehler ermöglichen einem Angreifer die Ausführung von beliebigem Schadcode auf Apple iPhones, iPads und iPods.

Bei den behobenen Fehlern handelt es sich um Memory-Corruption-Schwachstellen, die bei der Verarbeitung von Microsoft Word und Excel Dateien auftreten. Apps wie Safari, Mail oder Twitter öffnen Microsoft Office Dokumente automatisch, falls diese in Webseiten eingebettet sind. Bereits der Besuch einer manipulierten Webseite bzw. das Öffnen einer präparierten E-Mail reicht daher aus, um das mobile Gerät mit Schadsoftware zu infizieren oder Daten von dem Gerät zu stehlen.

Weiterführende Informationen zu den Schwachstellen findet man unter http://support.apple.com/kb/HT4999.

Nutzer von älteren iOS-Versionen können sich mithilfe unserer Gorilla App vor solchen Drive-by-Angriffen schützen.


Sept 8 2011

Update behebt kritische Sicherheitslücken in Smartphone-Messenger

Seit heute steht in Apples App Store eine aktualisierte Version der iPhone-App "WhatsApp Messenger" zum Download bereit. Darin werden zahlreiche kritische Sicherheitslücken behoben, die von Andreas Kurtz identifiziert und gemeinsam mit dem Hersteller beseitigt wurden. Neben dem Versenden gefälschter Nachrichten ermöglichen die Schwachstellen ebenfalls das Mitlesen von Nachrichten beliebiger WhatsApp-Nutzer.

Weitere Informationen:


Aug 1 2011

A Bug Hunter's Diary

Im Oktober 2011 erscheint die englische Version des Buches "Aus dem Tagebuch eines Bughunters - Wie man Softwareschwachstellen aufspürt und behebt" von Tobias Klein. Veröffentlicht wird die überarbeitete, englische Fassung bei No Starch Press unter dem Namen "A Bug Hunter's Diary". [mehr]


Mai 19 2011

Vorlesungen an der Hochschule Heilbronn

Neben der Forschung beteiligt sich die NESO Security Labs auch aktiv an Lehre und Ausbildung. Im Rahmen zahlreicher Veranstaltungen gewinnen Studierende einen Einblick in aktuelle Angriffstechniken und Gegenmaßnahmen und können die erlernten Kenntnisse zur Entwicklung sicherer Software anwenden. Die nächsten Vorlesungstermine:

  • 19.05.2011, Vorlesung Security-Konzepte in der Software-Entwicklung
  • 25.05.2011, Vorlesung Informationssicherheit
  • 26.05.2011, Vorlesung Security-Konzepte in der Software-Entwicklung
  • 01.06.2011, Vorlesung Informationssicherheit

Apr 28 2011

Nicht durch die Hintertür

In der aktuellen Ausgabe 05/2011 des iX-Magazins (Heise Zeitschriften Verlag) finden Sie unseren Artikel "Nicht durch die Hintertür - Einsatz von Exploit-Mitigation-Techniken". Neben der Beschreibung der wichtigsten Exploit-Mitigation-Technologien unter Linux und der Vorstellung eines Werkzeugs zur Prüfung dieser Schutzmechanismen, werden gängige Linux-Distributionen hinsichtlich der Verwendung von Exploit-Mitigation-Technologien untersucht. [mehr]


Apr 21 2011

Gorilla - Software zur Absicherung von Apples iOS

Das iOS Betriebssystem verfügt momentan nur über wenige Mechanismen, um bekannte Sicherheitsprobleme (bspw. Drive-by-Angriffe) zu unterbinden oder zumindest zu erschweren. Darüber hinaus bietet iOS nur wenige Maßnahmen zum Schutz der Privatsphäre.

Unser Forschungsprojekt Gorilla, erweitert das iOS Betriebssystem um verschiedene Sicherheits- und Kontrollfunktionen und ermöglicht dadurch eine bessere Absicherung des Systems sowie eine bessere Überwachung installierter Apps. [mehr]