Storage of sensitive data in a Java enabled cell phone

Abstract

NORSK: Dagens personer må ofte gå rundt å huske mange forskjellige passord, som blir brukt til å aksessere mange ulike tjenester. Single sign-on (SSO) løsninger blir derfor utviklet for å gjøre denne passord håndteringen enklere. En ny ide innen SSO, er å lagre alle passordene på en mobiltelefon med støtte for Java . Ideen går ut på at mobiltelefonen kommuniserer med en PC via en spesiell Bluetooth enhet. I en slik situasjon må en hacker derfor ha tilgang til denne Bluetooth enheten og ha aksess til telefon applikasjonen for å få tak i passordene. Denne oppgaven vil derfor prøve å presentere hvor egnet en slik Java telefon er til å håndtere og lagre sensitiv informasjon som disse SSO passordene. Den vil identifisere sårbarheter og trusler rundt denne metoden å hådtere passord. En prototype utformet som en digital safe vil be implementert. Denne prototypen vil deretter bli nærmere analysert, for å finne dens sterke og svake sider. Målet med denne forskningen er å finne ut om denne SSO ideen vil være robust nok til å kunne bli en ny trend innen SSO. Målet vil også være å identifisere de ulike måtene Java mobiltelefoner kan holde konfidensiell informasjon sikker.

ENGELSK: Today’s people often need to remember many different passwords to get access to a variety of services. To make the password management task easier, single sign-on solutions (SSO) are implemented. A new idea for SSO implementation is to store the passwords on a Java enabled cellular phone. The idea is that a Java application on a cellular phone communicates with a PC through a special USB Bluetooth device. A hacker will in this situation need both the Bluetooth device and access to the cell phone application to be able to obtain the passwords. This thesis will present how suited these mobile devices are to store sensitive information like passwords from a SSO solution. It will identify vulnerabilities and threats associated with this way of doing single sign-on. A prototype formed as a digital safe will be implemented. An analysis of this prototype will then be performed, to find it’s strengths and weaknesses. The aim of this investigation is to find out if this new SSO idea will be robust enough and therefore can be a new trend in SSO, as well as identify the ways a Java enabled cellular phone can keep confidential information secure.