News

Alexandra Dmitrienko vom Software Campus bei der Financial Cryptography and Data Security-Konferenz 2014

28.03.2014 -

Software Campus-Teilnehmerin präsentiert ihre Forschung bei internationaler Sicherheitskonferenz

Bei der hochgerankten 18. Konferenz über Financial Cryptography and Data Security (FC 14) tauschten sich letzte Woche im karibischen Barbados internationale Sicherheitsexperten aus. Auch die Software Campus-Teilnehmerin Alexandra Dmitrienko hat daran teilgenommen.

Sie präsentierte als Co-Autorin das Paper „When More Becomes Less: On the (In)Security of Mobile Two-Factor Authentication” im Rahmen der Sitzung zum Thema Mobile Systems Security.

Nach empirischer Untersuchung mehrerer Einmalverschlüsselungsverfahren (OTPs) konnte Alexandra in allen Fällen Angreifbarkeit durch Schadprogramme feststellen, obwohl OTPs informationstheoretisch als sicher gelten.

Ferner stellte sich die Frage, ob Malware-Angriffe auch bei Zwei-Faktor-Authentifizierung (2FA) potentiell gefährlich sein können. Da das Deaktivieren von 2FA bei Marktführern wie Google und Facebook oft auch ohne wiederholte Eingabe von Login-Daten erfolgt, könnte ein sogenannter Session Hijacker das 2FA-Verfahren problemlos ausstellen.  Um ihre These zu validieren, haben die Software Campus-Teilnehmerin und ihr Team plattformübergreifenden Code zur Infektion von Android-Smartphones über Windows PCs durch Tethering oder gemeinsame LAN-Verbindung aufbereitet und getestet.

So erwies sie die Zwei-Faktor-Authentifizierung beim Online-Banking von vier verschiedenen Banken und mehreren Webseiten (Google, Facebook, Twitter und Dropbox u.a.) als praktisch unsicher.

Im Rahmen der Poster-Sessions bei der FC 14 stellte Alexandra außerdem ihre Forschung zum Thema Offline Bezahlung mit Bitcoin aus.

Im Software Campus kooperiert Alexandra Dmitrienko mit der Robert Bosch GmbH und dem Fraunhofer-Verbund IUK-Technologie.

Alle News