Automatische Erkennung und Behebung von Crypto-API-Misuse in Android-Applikationen

erschienen in #IT-Sicherheit, Mobil & Cloud vom 20.08.2021

Auch knapp ein Jahrzehnt nach der ersten wissenschaftlichen Erforschung bleibt Crypto-API-Misuse eine der häufigsten Ursachen für Sicherheitslücken in Android-Anwendungen. Durch falsche Parametrisierung von kryptografischen Primitiven oder von Funktionalität für den Aufbau von TLS-Verbindungen, können Angreifer in vielen Fällen unkompliziert sensible Nutzerdaten abschöpfen. Da die verschiedenen Bemühungen vom Plattform-Anbieter Google in den letzten Jahren zu keiner nennenswerten Veränderung der Situation führen konnten, schlagen wir in diesem Forschungsprojekt eine neuartige Lösung vor, die diese weitverbreitete Bedrohung für Endnutzer abwenden soll. Unser Ansatz sieht einen Hintergrundprozess vor, der auf unmodifizierten Android-Systemen automatisiert alle installierten Anwendungen um einen Patch zur Überwachung und Korrektur von Aufrufen kryptografischer APIs ergänzt. Wir demonstrieren die Effektivität dieser Lösung anhand zweier Case-Studies populärer Android-Anwendungen von Google Play.

Downloads

Datei Beschreibung Dateigröße
pdf Projektbericht (DE) Version 1.0 vom 20.08.2021
485 kB