SwissBorg-App bei Penetrationstest als hochsicher eingestuft
Nicolas Rémond
Chief Technology Officer
Bei SwissBorg hat die Sicherheit des Vermögens und der Daten unserer Community höchste Priorität. Deshalb haben wir einen der renommiertesten Anbieter von Informationssicherheit in der Schweiz gebeten, Penetrationstests für die SwissBorg-App durchzuführen.
Wir haben uns entschlossen, den Gesundheitszustand unserer App mit diesem Test zu überprüfen, der einem medizinischen Stresstest bei einem medizinischen Check-up ähnelt. Ein Team von erfahrenen Prüfern wurde beauftragt, Schwachstellen in unserer Sicherheit zu finden. Nach ihrer achttägigen Prüfung kamen sie zu dem Schluss, dass "die mobilen Anwendungen von SwissBorg ein hohes Sicherheitsniveau aufweisen".
Der Sicherheitsansatz von SwissBorg
Die SwissBorg-App nutzt die Möglichkeiten moderner Smartphones, indem sie einen kryptografischen privaten Schlüssel erstellt, der in der sicheren Enklave eines Telefons generiert wird. Dies ermöglicht uns eine viel ausgefeiltere Sicherheit als bei herkömmlichen Apps oder Web-Apps.
Eine häufige Frage, die uns im Zusammenhang mit der Sicherheit gestellt wird, betrifft die Zwei-Faktor-Authentifizierung (2FA). Viele von uns haben eine 2FA-App (z.B. Google Authenticator) auf demselben Telefon, das wir für die SwissBorg-App verwenden. Wenn also ein Angreifer Zugriff auf das Telefon eines Benutzers und den zum Entsperren erforderlichen Entsperrcode erhält, kann er auch nach dem 2FA-Code des Benutzers suchen, um auf dessen Apps zuzugreifen. Aus diesem Grund würde das Hinzufügen von 2FA unseren Nutzern nur ein falsches Gefühl der Sicherheit vermitteln, anstatt die App sicherer zu machen.
Wir denken darüber nach, in Zukunft eine 2FA-Funktion für fortgeschrittene Benutzer, die zwei Telefone oder eine spezielle App wie 1Password verwenden, hinzuzufügen, aber wir arbeiten zunächst daran, die Sicherheit für alle zu verbessern.
Ergebnisse der Penetrationstests
Penetrationstests, auch Pen-Tests genannt, sind simulierte Cyber-Angriffe auf ein System, um es auf Schwachstellen zu überprüfen. Bei der SwissBorg-App testeten die Prüfer, wie leicht die Accounts unserer Nutzer von Angreifern missbraucht werden können.
Die Auditoren führten acht Tage lang Penetrationstests sowohl für die iOS- als auch für die Android-Version der SwissBorg-App durch.
Wir sind stolz, mitteilen zu können, dass die SwissBorg-App die Penetrationstests mit Bravour bestanden hat! Es wurden keine schwerwiegenden oder kritischen Schwachstellen gefunden, und die Prüfer kamen zum Schluss, dass geschützte Geräte (d.h. Geräte, die mit einem Entsperrcode oder TouchID geschützt sind) in keinem der wichtigsten Sicherheitsziele gefährdet sind.
Für die technisch Interessierten unter euch, diese Ziele waren:
- Ausführen von willkürlichem Code innerhalb der App
- Zugriff auf/Änderung von Dateien innerhalb der App von einer anderen App aus
- Ausführen beliebiger Befehle auf dem Backend
- Hijacking von Anwendungsausführungsabläufen
- Umgehen der lokalen Authentifizierung und Zugriff auf das Konto eines Nutzers
- Extrahieren sensibler Informationen auf einem kompromittierten Smartphone.
Es wurden vier kleinere Sicherheitslücken gefunden, von denen unser technisches Team zwei bereits behoben hat.
Die verbleibenden zwei Schwachstellen treten nur dann auf, wenn ein Angreifer uneingeschränkten Zugriff auf das Telefon eines Nutzers hat (d. h., er hat das Telefon physisch an sich genommen und die Sicherheit des Geräts umgangen). Daher ist es höchst unwahrscheinlich, dass sie ausgenutzt werden. Im Rahmen unseres Engagements, unsere App so sicher wie möglich zu machen, wird unser Entwicklungsteam diese Schwachstellen jedoch beheben, indem es eine serverseitige Validierung für PINs in die App einbaut.
Wie Nutzer ihre Sicherheit verbessern können
Obwohl die SwissBorg-App als sehr sicher eingestuft wurde, können die Nutzerinnen und Nutzer verschiedene Massnahmen ergreifen, um die Sicherheit ihres Vermögens und ihrer Daten zu erhöhen. Dazu gehören:
- Sichere dein Gerät mit einem Entsperrcode oder TouchID, um unbefugten Zugriff auf deine Apps zu verhindern.
- Klicke nicht auf Links in E-Mails von Personen, denen du nicht vertraust. Überprüfe außerdem die E-Mail-Adresse des Absenders, um sicherzugehen, dass die E-Mail tatsächlich von demjenigen stammt, von dem sie angeblich stammt.
- Gebe niemals deine persönlichen Daten weiter. Wenn du von jemandem kontaktiert wirst, sei es am Telefon, per E-Mail oder über soziale Medien, gib ihm nicht deinen privaten Schlüssel, deine Wiederherstellungsphrase, deine Bank- und Kreditkartendaten, dein Geburtsdatum und deine Sozialversicherungsnummer.
- Wenn du von jemandem mit einem Angebot kontaktiert wirst, das zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch. Wenn du unter Druck gesetzt wirst, sofort zu handeln, nimm dich die Zeit, das Angebot mit einem Familienmitglied, einem Freund oder einem Finanzberater zu besprechen.
Das könnte dich auch interessieren