Das Apple Remote Invocation Protokoll ist bisher noch nicht öffentlich bekannt gewesen und dient der Kommunikation zwischen iOS und dem Baseband Chip. Wir schauen uns die Felder und Strukturen innerhalb dieses Protokolls an und veranschaulichen unsere Ergebnisse schließlich in einem Wireshark Dissector. Unter anderem zeigen wir auch wie und woher man bspw. mit Ghidra automatisiert Informationen über das Protokoll aus der Software extrahieren kann.

Über die weit verbreitete USB-Schnittstelle können Angriffe auf Computer erfolgen, gegen die es noch keine weit verbreiteten Schutzmaßnahmen gibt. Diese Arbeit stellt ein Konzept vor, welches den Kontext in dem ein USB-Gerät angeschlossen wird, sowie die Verifikation der erwarteten Fähigkeiten dieses Geräts durch den Benutzer zur Ableitung der Maliziösität des Geräts nutzt. Außerdem wird anhand eines Prototyps die Benutzerfreundlichkeit des Konzepts evaluiert.

Die Content Security Policy (CSP) ist ein Mechanismus um Cross-Site Scripting (XSS) Angriffe abzuschwächen, allerdings scheitern viele Browser dabei den Sicherheitsstandard konsistent durchzusetzen, was eine große Herausforderung bei der Entwicklung einer sicheren und effektiven CSP darstellt.

In dieser Arbeit stelle ich retroCSP vor, eine Retrofitting-Architektur, welche nicht-universell unterstützte CSP-Features nachimplementiert und somit eine konsistente Benutzung neuester Erweiterungen des CSP-Standards erlaubt. Durch die Analyse der Implementierung des Sicherheitsstandards in den verschiedenen Browsern bin ich auf mehrere inkonsistente Verhaltensweisen sowie Verletzungen des Standards gestoßen, welche retroCSP behebt und letztlich durch diese Arbeit zu einer Anpassung der CSP Spezifikation geführt haben.

The omnipresence of Wi-Fi and Internet of Things (IoT) devices in our daily lives demands strong quantifiable security and privacy mechanisms to protect us from attackers. In order to increase the resilience of wireless networks against attacks such as the Key Reinstallation Attack (KRACK) published in 2017, it is necessary to introduce additional authentication mechanisms. In this work, I investigate radiometric identification schemes in wireless networks based on physical properties of devices and how they can be used securely, while at the same time, preserving the privacy of users.

Secure and efficient biometric identification is one of the key challenges in biometrics today. As a solution to both challenges, this thesis proposes an efficient privacy-preserving reduction of the computational workload of biometric identification systems by applying public-key encryption with keyword search (PEKS) and fully homomorphic encryption (FHE), both of which can be instantiated in post-quantum secure configurations. In terms of efficiency, the proposed system achieves face identification on 1000 subjects in 210 milliseconds.

An EM side-channel is used to analyse the hardware AES implementation of a smartphone and to recover the hardware fused encryption key.

Therefore, various statistical tools like t-test, SNR and correlation are used to blackbox reverse engineer the hardware implementation of the AES, which leads to a successful attack. This attack allows offline decryption of software updates as well as scaleable passcode cracking on GPU clusters using hashcat.

Over recent years, industrial networks and the Internet moved closer together, raising fundamental concerns about the communication security of protocols initially standardized for isolated usage. To analyze how efficient Transport Layer Security (TLS) as a successful and well-understood security solution protects such deployments, we employ Internet-wide scans for ten well-known industrial protocols.

We show that with a TLS-adoption rate of 7%, out of which 44% have severe security deficiencies, the transition towards secure Internet-wide industrial communication is still in an early stage.

CVSS steht für das Common Vulnerability Scoring System, das zur Bewertung von Schwachstellen eingesetzt wird und weit verbreitet ist. Innerhalb der Masterarbeit wurde die Verlässlichkeit von CVSSv3.1 mithilfe von definierten Einflussfaktoren und einer Online-Umfrage als Nutzerstudie überprüft. Die Studienergebnisse zeigten, dass CVSS keine verlässlichen Ergebnisse erzeugt und die Bewertungen gewissen persönlichen Einflüssen unterliegt.

• Paul Duplys, Robert Bosch GmbH

• Markus Duermuth, Ruhr Universität Bochum

• Christian Rathgeb, Hochschule Darmstadt / ATHENE

• Andy Rupp, University of Luxembourg / KASTEL Security Research Labs

• Ben Stock, CISPA - Helmholtz-Zentrum für Informationssicherheit gGmbH

• Christoph Maggioni, secunet Security Networks AG