Titelaufnahme

Titel
Sichere Datenübertragung von Banking Apps : Ein Vergleich der TLS Verwendung zwischen Android und iOS / vorgelegt von Andrea Mayr
Weitere Titel
Secure Data Transfer of Banking AppsA Comparison of TLS Usage in Android and iOS
AutorInnenMayr, Andrea
GutachterKoschuch, Manuel ; Paulis, Herbert
Erschienen2018
Umfangvii, 59 Blatt : Illustrationen
HochschulschriftWien, FH Campus Wien, Masterarb., 2018
Datum der AbgabeAugust 2018
SpracheDeutsch
DokumenttypMasterarbeit
Schlagwörter (DE)<span>TLS / PKI / X509 Zertifikate / Man-in-the-Middle-Angriff / Mobile </span><span class="searchterm">Banking</span><span> Apps / Android / iOS</span>
Schlagwörter (EN)<span>TLS / PKI / X509 Certificates / Man-in-the-Middle-Attack / Mobile </span><span class="searchterm">Banking</span><span> Apps / Android / iOS</span>
Schlagwörter (GND)Datenübertragung / Datensicherung
URNurn:nbn:at:at-fhcw:1-3395 Persistent Identifier (URN)
Zugriffsbeschränkung
 Das Werk ist frei verfügbar
Dateien
Sichere Datenübertragung von Banking Apps [13.71 mb]
Links
Nachweis
Klassifikation
Zusammenfassung (Deutsch)

<span>Diese Arbeit beschäftigt sich mit der Datenübertragung zwischen </span><span class="searchterm">Banking</span><span> Apps und den

Bankservern. Untersucht wurden die Android- und iOS-Apps der neun größten österreichi-

schen Banken. Ziel ist es, einerseits eine zeitgenössische (1) und unabhängige Betrachtung

hinsichtlich der Sicherheit bei der Kommunikation zwischen mobilem Client und Bankserver

zu geben und andererseits soll geprüft werden, ob das Betriebssystem der Mobiltelefone einen

Einfluss auf die Sicherheit der Applikationen hat oder nicht.

Der theoretische Teil der Arbeit gibt zunächst einen Einblick in das Thema sichere Datenüber-

tragung und -verschlüsselung. Um eine Grundlage für die leicht unterschiedlichen Ergebnisse

unter Android und iOS zu haben, wurden ebenfalls die Betriebssystembibliotheken und Test-

werkzeuge näher betrachtet. Durch Aufzeichnen sämtlicher Nachrichten soll geklärt werden,

ob die Daten verschlüsselt übertragen werden und welche Protokolle zum Einsatz kommen.

Für die Aufzeichnung und Auswertung des Datenverkehrs wird die freie Software Wireshark

verwendet. Um festzustellen, ob TLS korrekt implementiert wurde, wird im weiteren ein Man-

In-The-Middle-Angriff simuliert. Mit Hilfe der ebenfalls freien Software mitmproxy kann ein

solcher Angriff relativ einfach durchgeführt und die Frage, wie die Apps mit gefälschten Zer-

tifikaten umgehen, beantwortet werden.

Wie erwartet ist der österreichische Bankensektor sehr gut aufgestellt und die sichere Daten-

übertragung dürfte bei der App-Entwicklung eine wichtige Rolle spielen. Nur bei einer Bank

war ein Man-In-The-Middle-Angriff erfolgreich und es konnten Login-Daten ergattert wer-

den. Die Bank wurde im Rahmen dieser Abschlussarbeit kontaktiert und die Sicherheitslücke

wurde bis Mitte Juli 2018 seitens der Bank behoben. Zusammenfassend lässt sich sagen, dass

nur bei der User-Experience in den Apps weiterer Handlungsbedarf besteht.

--------

(1) Frühjahr 2018</span>

Zusammenfassung (Englisch)

<span>This master thesis deals with data transfer between mobile</span><span class="searchterm">banking</span><span>apps and their bank

servers. The Android and iOS apps of the nine largest Austrian banks were examined. The

aim is to give a contemporary (2) and independent consideration regarding the transport secu-

rity between mobile client and bank server on the one hand and on the other hand to check

whether the operating system of the mobile phones has an impact or not.

The theoretical part of this thesis first gives an insight into the topic of secure communication

concepts and encryption. In order to have a basis for the slightly different results on Android

and iOS, the operating system libraries and testing tools were also examined in more detail.

By recording all messages it should be clarified whether the data is transmitted encrypted

and which protocols are used. The free software Wireshark is used for the recording and eva-

luation of data traffic. To determine if TLS has been implemented correctly and how the apps

handle fake certificates, a man-in-the-middle attack is simulated. With the help of mitmproxy

(also a free software) such an attack can be performed quiet easily.

As expected, the Austrian</span><span class="searchterm">banking</span><span>sector is very well positioned and it looks like secure data

transfer plays an important role in app development. Only from one bank login data could

be obtained during an attack. The bank was contacted as part of this thesis and this vul-

nerability was resolved by mid-July 2018. In summary, there is only need for further action

regarding the user experience.

--------

(2) spring 2018</span>

Statistik
Das PDF-Dokument wurde 6 mal heruntergeladen.
Lizenz
CC-BY-Lizenz (4.0)Creative Commons Namensnennung 4.0 International Lizenz