Jármű műszerfal fejlesztése mobilra

Topics: Forensics, Cars, Mobile

A járművek egyes vezérlő elemei (ECU) egymással egy decentralizált hálózaton keresztül kommunikálnak (CAN). Az autó paraméterei, és a vezető tájékoztatáshoz használt minden információ megszerezhető erről a hálózatról. Egy hálózati megfigyelésre alkalmas eszköz segítségével lehetőség van a műszerek által mért adatokat más formában is megjeleníteni, sőt kiegészíteni olyan plusz információkkal, amelyek a hagyományos műszerfalakon nem szerepelnek.
A hallgató feladatai:
- a járművekben használt kommunikációs technológia megismerése
- a CAN hálózat lehallgatásához használható eszköz megismerése és fejlesztése
- a kinyert információ megjelenítése egy mobil alkalmazásban (iOS és/vagy Android)

Maximum number of students: 2 students

Contact: András Gazdag (CrySyS Lab)

Járművek mozgásának nyomkövetése

Topics: Forensics, Cars, Mobile

A járművek minden vezérlő egysége belső hálózaton (CAN) keresztül kommunikál. Ezen a hálózaton található meg a legtöbb vezérlőjel, és a szenzorok általál mért paraméterek értéke is. Ha egy lehallgató képes folyamatosan megfigyelni az autó mozgásához kapcsolodó paramétereket, akkor képes lehet az autó nyomkövetésére is.
A hallgató feladatai:
- a járművekben használt kommunikációs technológia megismerése
- a CAN hálózat lehallgatásához használható eszköz megismerése és fejlesztése
- a kinyert adatok értelmezése a szükséges szintig
- az adatok alapján a jármű mozgásának a rekonstrukciója

Maximum number of students: 1-2 students

Contact: András Gazdag (CrySyS Lab)

Cross-platform privacy leaks in apps

Topics: Privacy, Mobile

There are a number of popular platforms available for third-party app development, such as Android, iOS, Facebook, Google Drive and Dropbox. Each platform has its own access control mechanisms and its corresponding privacy issues. While each one is interesting in its own right, a sneaky and data-hungry application provider can potentially combine the personal information gathered by multiple apps over different platforms in order to compile a detailed user profile, without consent from or even knowledge by the user themselves. Furthermore, single sign-on technologies by Facebook or Google may escalate the problem.
The prospective student will first briefly get to know the access control mechanisms of popular app platforms, and map out the potential for sneaky cross-platform data collection. Then, the student will gather permission request data of apps on different platforms, and attempt to find evidence of cross-platform privacy leaks and estimate its likelihood and significance.
Required skills: good command of English
Preferred skills: basic programming skills (e.g., python), familiarity with app platforms
[1] Chia, Pern Hui, Yusuke Yamamoto, and N. Asokan. " Is this app safe?: a large scale study on application permissions and risk signals." Proceedings of the 21st international conference on World Wide Web. ACM, 2012.

Maximum number of students: 2 students

Contact: Gergely Biczók (CrySyS Lab)

Threat analysis in Open Banking

Topics: Privacy, Mobile, Economics

The European Union have ruled that traditional banks are uncompetitive and slow, and innovative financial services have a hard time breaking into the market. Thus, the EU has passed a new legislation (Payment Services Directive, PSD2), which requires banks to open up their information systems through a new type of API. This API allows third party Fintech apps and services to get information directly from your bank. It is obvious that such an API poses significant information security and privacy threats to banks and their end-customers.
The prospective student will first briefly get to know the idea of Open Banking and the PSD2 directive. Then, focusing on the newest version of the Open Bank API, the student will do a systematic security and privacy threat analysis. The student will learn how to apply the STRIDE and LINDDUN threat analysis methodologies.
Required skills: adequate command of English
Preferred skills: basic programming skills (e.g., python), familiarity with REST APIs
[1] Mansfield-Devine, Steve. "Open banking: opportunity and danger." Computer Fraud & Security, 2016.

Maximum number of students: 2 students

Contact: Gergely Biczók (CrySyS Lab)

Mobil elektronikus aláíró alkalmazás tervezése, fejlesztése

Topics: PKI, Mobile

Digitális aláírás segítségével biztosíthatjuk az elektronikus formában tárolt dokumentumok sértetlenségét és hitelességét, valamint különböző elektronikus tranzakciók letagad-hatatlanságát. Ezek alapvető biztonsági célok, ezért a digitális aláírás, és az azt lehetővé tevő PKI infrastruktúra, az elektronikus ügyintézés és ezzel együtt a modern társadalom nélkülözhetetlen eszköze. Ugyanakkor manapság egyre inkább mobil számítástechnikai eszközöket (pl. okos telefont, tabletet) használunk, ezért joggal merül fel az igény arra, hogy ilyen eszközökkel is képesek legyünk digitális aláírásokat készíteni és ellenőrizni. A hallgató feladata egy digitális aláírás alkalmazás fejlesztése mobil eszközre. A feladat magában foglalja a PKI és a ditiális aláírás elméleti alapjainak megértését, alkalmas szoftver könyvtár keresését, megismerését, és mobil környezethez történő hozzáigazítását, valamint e könyvtár integrálását egy ergonomikus kezelőfelülettel rendelkező mobil alkalmazásba.

Maximum number of students: 1 student

Contact: Levente Buttyán (CrySyS Lab), External supervisor (Microsec)