Sicherheitsbewertung Over-the-Air Update-Lösung

Beschreibung

Sicherheitsbewertung einer OTA-Update-Lösung. Client-Server-Architektur: Server in Go, Client in C++. Remote-Firmware-Updates auf Geräte im Feld.

Was ich gemacht habe:

• Architektur-Review: Single Points of Failure, unsichere Kommunikation, Schwachstellen im Update-Prozess
• Protokollanalyse: Authentifizierung, Autorisierung, Verschlüsselung
• Code-Review: Buffer Overflows, Injection, unsichere Datenverarbeitung

Ergebnis: Mehrere Schwächen gefunden, die zu bösartigen Firmware-Updates oder DoS führen könnten.

Härtungsmaßnahmen:

• Authentifizierung und Autorisierung stärken
• Verschlüsselung und Integritätsprüfungen implementieren
• Code-Level-Schwachstellen fixen

Tools & Technologien

• TARA Tool (mein eigenes)
• Burp Suite Pro & Mobile Assistant
• Frida
• Jenkins
• C++
• Golang
• Python
• Docker
• Coverity
• LLVM Sanitizers
• Windows
• Ubuntu
• MacOS
• AWS
• Azure
• CodeQL
• Semgrep
• Snyk
• Bandit
• Wireshark