Smartphone Security

Benutzer- und Datenauthentifizierung

Neue Verfahren zur Benutzer- und Datenauthentifizierung und zum Zugriffs- und Malware-schutz für Smartphones, Tablets und BYOD

Projektziele

Ziele des Projektes sind die Erforschung und Entwicklung einer:

  1. weltweiten BenutzerInnen-Authentifizierung mit Hilfe des Reisepasses
  2. kontinuierlichen biometrischen BenutzerInnen-Authentifizierung durch Überprüfung des personenspezifischen Bewegungsmusters bei der Gerätebedienung
  3. Datenverschlüsselung für Cloud-Speicher
  4. verhaltensbasierten Malwareerkennung

Technologische & Wirtschaftliche Auswirkungen

Die steigende Verfügbarkeit von Smartphones und Tablet-PCs (über 3 Milliarden im Jahr 2016) stellt die Cyber Security vor weitreichende große Herausforderungen. Da einige wichtige Sicherheitsprobleme von Smartphones und Tablet-PCs noch kaum oder unzureichend gelöst sind, beschäftigte sich das Projekt Smartphone Security genau mit einigen derartigen, bislang weitgehend vernachlässigten Bereichen.

Des Weiteren wurden die wichtigsten Projektergebnisse sechs Mal international publiziert.

Authentifizierung mit Hilfe des Reisepasses

Es konnte gezeigt werden, dass der Reisepass für eine hochsichere weltweite BenutzerInnen-Authentifizierung über das Internet geeignet ist und in Verbindung mit Smartphones verwendet werden kann. 

Weiters entstanden während des Forschungsprojektes und danach in Entwicklungstätigkeiten (Diplomarbeiten etc.) am Institut eine App und eine Software für eine Zentrale, die eine weltweite hochsichere BenutzerInnen-Authentifizierung mit Hilfe des Reisepasses auf einfache Weise ermöglicht. Dabei muss die BenutzerIn nach dem Start der App nur den Reisepass zum Smartphone halten und die Zentrale kann eine sichere BenutzerInnen-Authentifizierung durchführen. Voraussetzungen dafür sind, dass das Smartphone NFC-fähig ist, auf der Android Plattform basiert und online ist.

Biometrische BenutzerInnen-Authentifizierung

Es konnte im Projekt gezeigt werden, dass es möglich ist Smartphone BenutzerInnen anhand unterschiedlicher verhaltensbasierter Charakteristika zu erkennen. Diese Charakteristika wurden im Projekt herangezogen, um ein eindeutiges Nutzerprofil zu erstellen und dieses am mobilen Endgerät zu hinterlegen. Moderne mobile Geräte liefern dafür das notwendige Werkzeug. Sie besitzen neben einem Touchscreen unter anderem

  • einen digitalen Kompass,
  • Beschleunigungssensor,
  • Näherungssensor,
  • Umgebungslichtsensor,
  • Gyroskop,
  • Barometer,
  • GPS oder Magnetometer.

Das Hauptergebnis ist ein kontinuierliches Authentifizierungsverfahren, das auf Fuzzy Set Theorie und einem Scoring Modell basiert und Touchbewegungen, Geräteführung und das Tippverhalten der Smartphone Benutzung heranzieht, um zu entscheiden, ob es sich um die legitime BenutzerIn handelt oder nicht.

Das Verfahren wurde mit einer selbst entwickelten Banking-App (angelehnt an George der ERSTE Bank) getestet, um seine Einsetzbarkeit zu zeigen. Die Forschungsergebnisse können direkt in eine Lösung (z.B. Telebanking) integriert werden - mehrere Unternehmen evaluieren derzeit einen Einsatz.

Datenverschlüsselung für Cloud-Speicher

Im Projekt entstand ein neues Verschlüsselungssystem für Daten in Cloud-Speichern, das speziell die Anforderungen und Leistungsfähigkeit von Smartphones berücksichtigt und auch eine sichere externe Schlüsselsicherung enthält. Dabei liegt die Hoheit der in der Cloud gespeicherten Daten ausschließlich bei den BesitzerInnen. Damit kann die Datensicherheit von extern gespeicherten Daten wesentlich verbessert werden.

Die externe Speicherung von Daten hat einen sehr hohen Stellenwert im Bereich der mobilen Geräte, insbesondere im Online-/Cloud-Kontext, da diese Geräte zu-meist nur über begrenzte Möglichkeiten zur Speicherung verfügen. Des Weiteren ist die Synchronisation von Anwender-/Nutzdaten über mehrere Geräte durch die Cloud Services sicherheitstechnisch problematisch. In üblichen heutigen Lösungen müssen dabei die BenutzerInnen die Kontrolle über ihre Daten auch dem Anbieter direkt oder indirekt gewähren, eine oftmals inakzeptable Situation.

Das neue Verschlüsselungssystem wurde für die Android Plattform in Form einer App entwickelt und umfangreich getestet. Die App zeigte dabei eine hohe Effizienz in Bezug auf Verarbeitungsgeschwindigkeit und Speicherbedarf. Sie wird nach Verbesserungen in der Benutzerführung als Open Source Lösung veröffentlicht. Für Unternehmen, die für den Markt eine noch professionellere Lösung entwickeln möchten, steht das Institut zur Verfügung.

Verhaltensbasierte Malwareerkennung

Da Malware (Schadsoftware) ein zunehmendes Problem bei mobilen Geräten darstellt und klassische Virenscanner zur Lösung in Zukunft relativ ineffizient sind, wurde im Projekt eine für dieses Umfeld optimierte und spezifische verhaltensbasierte Erkennung erforscht und entwickelt. Diese basiert auf den Ergebnissen des KIRAS-Projektes MalwareDef und wurde speziell für die Hardwareanforderungen von Smartphones optimiert.

Die Grundidee von MalwareDef ist es, typische Aktionen von Malware auf einem relativ hohen Abstraktionsniveau formal zu definieren und über diese Definitionen Malware dynamisch zu entdecken. Der Einsatz verhaltensbasierter Verfahren eignet sich besonders für mobile Geräte, weil dort die Technik des Sandboxings zunehmend zum Einsatz kommt. Dies ermöglicht die Kontrolle des Verhaltens zur Laufzeit.

Außerdem hat sie bei mobilen Geräten zwei Vorteile:

  • Erstens muss keine Signaturdatenbank gespeichert werden, da das Verhalten der Malware in Form generischer Beschreibungen als formale Grammatik vorliegt (was bei der geringeren Speichergröße bei mobilen Geräten von großer Bedeutung ist); und
  • zweitens kann mit verhaltensbasierter Malware-Erkennung auch neuartige Malware erkannt werden, die bislang noch nicht aufgetreten ist.

Im Projekt konnte gezeigt werden, dass der Einbau verhaltensbasierter Verfahren zur Erkennung von Malware in die Sandboxing-Techniken von Smartphones und Tablets möglich ist und funktioniert. Die Firma IKARUS hat die Projektergebnisse übernommen, um sie in ein konkretes Produkt des Marktes zu integrieren.