Sicherheit mobiler Apps

Vergangene Woche fand in München der vierte "German OWASP Day" (2011) statt.

Die Folien meines Vortrags zur "Sicherheit mobiler Apps" stehen nun bei OWASP zum Download bereit.

Shooting the Messenger

Within a research project on smartphone application security, I reviewed selected smartphone apps regarding security issues. One of the apps at the top of the list was WhatsApp Messenger by WhatsApp Inc.

WhatsApp Messenger is a cross-platform mobile messenger for text messaging using the existing Internet connection based on, for example 3G/EDGE or Wi-Fi. WhatsApp is available for different platforms including the iPhone, BlackBerry, Android and Nokia Symbian60 phones. Since WhatsApp Messenger uses the same internet connection as email and web browsing, staying in touch with friends is available at no additional cost which seems to be one of the main reasons for the enormous popularity of the messenger. As App Store Charts reveals, WhatsApp Messenger is one of the Top 10 paid Apps in 16 out of 22 countries. It’s even the top paid App in five countries.

One of the most criticized features of WhatsApp Messenger is the automatic synchronization of the address book with the WhatsApp backend servers. According to WhatsApp Inc., synchronization is necessary to route chat messages between different users based on their phone numbers. Using this technique, current WhatsApp users will be automatically determined from the user's address book and displayed under Favorites, similar to a buddy list.

1 Summary

Today WhatsApp Inc. released an update for WhatsApp Messenger (Version 2.6.5). The update will address critical security issues I have identified:

The most critical vulnerability allows taking over any WhatsApp user account, to read messages of other users and even to send messages on their behalf. This is possible due to a design flaw within the WhatsApp Messenger registration procedure. By exploiting this weakness, devices can be registered with any phone number. Since registration in WhatsApp Messenger only depends on a phone number, a victim’s identity can easily be taken over.

WhatsApp Inc. was initially notified on June 20^th. In order to fix these vulnerabilities it was necessary to redesign the registration and verification process as well as the authorization mechanisms of WhatsApp. It seems obvious that these changes couldn’t be accomplished in a short range. Therefore we agreed on a coordinated disclosure at the beginning of September.

iX: Nicht durch die Hintertür

In der aktuellen Ausgabe 05/2011 des iX-Magazins (Heise Zeitschriften Verlag) finden Sie unseren Artikel "Nicht durch die Hintertür - Einsatz von Exploit-Mitigation-Techniken".

Neben der Beschreibung der wichtigsten Exploit-Mitigation-Technologien unter Linux und der Vorstellung eines Werkzeugs zur Prüfung dieser Schutzmechanismen, werden gängige Linux-Distributionen hinsichtlich der Verwendung von Exploit-Mitigation-Technologien untersucht.

Weitere Informationen finden Sie unter: http://www.nesolabs.de/forschung/fachartikel/

Gründung der NESO Security Labs GmbH

Zum 1.3.2011 habe ich gemeinsam mit Tobias Klein die NESO Security Labs GmbH, ein unabhängiges Beratungs- und Forschungsunternehmen im Bereich IT-Sicherheit, gegründet. Mehr Informationen finden Sie unter http://www.nesolabs.de

iX: Bug-Parade

Viele Schwachstellen innerhalb einer Applikation sind das Ergebnis weit verbreiteter Programmierfehler. Um diesen Fehlern schon während der Entwicklung entgegenwirken zu können, veröffentlichte das SANS Institute gemeinsam mit der MITRE Corporation zu Beginn des Jahres eine Liste der “Top 25 der gefährlichsten Programmierfehler”.
In der ab morgen erhältlichen März-Ausgabe des iX-Magazin schreibe ich über die Veröffentlichung der “Top 25″, die Vor- und Nachteile derartiger Schwachstellen-Sammlungen und über die organisatorischen Rahmenbedingungen sicherer Programmierung.

iX: An der Quelle

Statische Quellcode-Analyse ist ein mächtiges Verfahren, um nach Schwachstellen im Sourcecode einer Applikation zu suchen, ohne diese auszuführen. Automatisierte Quellcode-Scanner unterstützen dabei durch die Verfolgung des Datenflusses und das Erkennen von Schwachstellen. Wo liegen die Möglichkeiten, wo die Grenzen dieser Werkzeuge?
In der ab morgen erhältlichen Ausgabe des iX-Magazin (02/2009) beschreibe ich die automatisierte Schwachstellen-Analyse von Quelltexten.

iX: Acht Web Application Firewalls

Schwachstellen in einer Webanwendung können die gesamte IT-Infrastruktur eines Unternehmens gefährden. Als wirkungsvolle Schutzkomponente haben sich sogenannte Web Application Firewalls etabliert.
In der seit heute erhältlichen Ausgabe des iX-Magazin (08/08) vergleiche ich zusammen mit meinem Kollegen Michael Dipper “Acht Web Application Firewalls”.