Bei SwissBorg hat die Sicherheit des Vermögens und der Daten der Community höchste Priorität.
Aus diesem Grund haben sie SCRT Information Security, einen der renommiertesten Anbieter für Informationssicherheit in der Schweiz, gebeten, Penetrationstests für die SwissBorg-App durchzuführen.
SwissBorg hat sich entschieden, den Zustand der App mit diesem Test zu überprüfen, der einem medizinischen Stresstest bei einem medizinischen Check-up ähnelt.
Ein Team von erfahrenen SCRT-Auditoren wurde damit beauftragt, Schwachstellen in SwissBorgs Sicherheit zu finden.
Nach ihrem achttägigen Audit kamen sie zu dem Schluss, dass “die mobilen Anwendungen von SwissBorg ein hohes Sicherheitsniveau aufweisen”.
Lies den vollständigen Bericht in Englisch hier.
SwissBorgs Sicherheitsansatz
Die SwissBorg-App nutzt die Möglichkeiten moderner Smartphones, indem sie einen kryptografischen privaten Schlüssel erzeugt, der in der sicheren Enklave eines Smartphones generiert wird. Dies ermöglicht SwissBorg eine viel ausgefeiltere Sicherheit als bei traditionellen Apps oder Web-Apps.
Eine häufige Frage, die im Zusammenhang mit der Sicherheit gestellt wird, betrifft die Zwei-Faktor-Authentifizierung (2FA).
Viele von uns haben eine 2FA-App (z. B. Google Authenticator) auf demselben Smartphone, das wir für die SwissBorg-App verwenden.
Wenn also ein Angreifer Zugriff auf das Telefon einer Benutzerin oder eines Benutzers und den zum Entsperren erforderlichen Passcode erhält, könnte der Angreifer auch nach dem 2FA-Code des Benutzers suchen, um auf dessen Apps zuzugreifen.
Aus diesem Grund würde das Hinzufügen von 2FA nur ein falsches Gefühl der Sicherheit für die Benutzer:innen schaffen, anstatt die App sicherer zu machen.
SwissBorg zieht in Betracht, in Zukunft eine 2FA-Funktion für fortgeschrittene Benutzer hinzuzufügen, die zwei Telefone oder eine spezielle App wie 1Password verwenden würden, aber sie werden zunächst daran arbeiten, die Sicherheit für alle zu verbessern.
Ergebnisse des Penetrationstests
Penetrationstests, auch Pen-Tests genannt, sind simulierte Cyberangriffe auf ein System, um es auf Schwachstellen zu überprüfen. In Bezug auf die SwissBorg-App testete SCRT, wie leicht die Konten unserer Benutzer von Angreifern missbraucht werden können.
SCRT führte acht Tage lang Penetrationstests sowohl für die iOS- als auch für die Android-Version der SwissBorg-App durch.
SwissBorg ist stolz, mitteilen zu können, dass die SwissBorg-App die Tests mit Bravour bestanden hat!
Es wurden keine hohen oder kritischen Schwachstellen gefunden, und SCRT kam zu dem Schluss, dass geschützte Geräte (d.h. Geräte, die mit einem Passcode oder TouchID geschützt sind) in keinem der wichtigsten Sicherheitsziele gefährdet sind.
Für die technisch Interessierten: Diese Ziele umfassten:
- Ausführen von beliebigem Code innerhalb der App
- Zugriff auf/Änderung von Dateien innerhalb der App von einer anderen App aus
- Ausführen beliebiger Befehle auf dem Back-End
- Hijacking von Anwendungsausführungsabläufen
- Umgehen der lokalen Authentifizierung und Zugriff auf das Konto eines Benutzers
- Extrahieren sensibler Informationen auf einem kompromittierten Smartphone
Es wurden vier kleinere Sicherheitslücken gefunden, von denen SwissBorgs technisches Team zwei bereits behoben hat.
Die beiden anderen Schwachstellen treten nur dann auf, wenn ein Angreifer uneingeschränkten Zugriff auf das Telefon eines Benutzers hat (d. h., er hat das Telefon physisch an sich genommen und die Sicherheit des Geräts umgangen). Aus diesem Grund ist es sehr unwahrscheinlich, dass sie ausgenutzt werden.
Im Rahmen SwissBorgs Engagements, die App so sicher wie möglich zu machen, wird das Entwicklungsteam diese Schwachstellen jedoch beheben, indem es eine serverseitige Validierung für PINs in die App einbaut.
Wie Anwender:innen ihre Sicherheit verbessern können
Obwohl die SwissBorg-App als sehr sicher eingestuft wurde, gibt es mehrere Schritte, die Nutzer:innen unternehmen können, um die Sicherheit ihres Vermögens und ihrer Daten zu erhöhen. Dazu gehören:
- Sichere dein Gerät mit einem Passcode oder TouchID, um Unbefugten Zugriff auf deine Apps zu verhindern.
- Klicke nicht auf Links in E-Mails von Personen, denen du nicht vertraust. Überprüfe ausserdem die E-Mail-Adresse der Absender:innen, um sicherzugehen, dass die E-Mail tatsächlich von der entsprechenden Person stammt, als die sie sich ausgibt.
- Gib niemals deine persönlichen Informationen weiter. Wenn du von einer Person kontaktiert wirst, sei es am Telefon, per E-Mail oder über soziale Medien, gib ihr nicht deinen privaten Schlüssel, deine Wiederherstellungsphrase (Recovery Phrase), deine Bank- und Kreditkarteninformationen, dein Geburtsdatum und deine Sozialversicherungsnummer.
- Wenn du von einer Person mit einem Angebot kontaktiert wirst, das zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch. Wenn du unter Druck gesetzt wirst, sofort zu handeln, nimm dir die Zeit, die Anlegenheit mit einem Familienmitglied, einer Freundin, einem Freund oder einem Finanzberater zu besprechen.