Immer mehr private Daten werden auf mobilen Geräten gespeichert, und der Schutz dieser Informationen vor unberechtigtem Zugriff wird immer wichtiger. Dies betrifft sowohl den Schutz gegen Angreifer von außen, als auch den Schutz gegen unbeabsichtigten Informationsfluss zwischen Anwendungen, mobilen Geräten und dem Internet. In diesem Projekt konzentrieren wir uns auf den zweiten Aspekt, berücksichtigen dabei aber auch externe Angreifer. Wir entwickeln einen neuartigen Ansatz, der die formale Verifikation von Informationsflusseigenschaften und sprachbasierte Informationsflusskontrolle in einen modellgetriebenen Softwareentwicklungsprozess integriert. Der Ansatz beginnt mit einem UML-Modell, das um anwendungsspezifische Informationsflusseigenschaften (z.B. Kreditkarteninformationen werden erst nach Bestätigung versandt) erweitert wurde, die vom Nutzer angepasst werden können. Mit Hilfe von Modell-zu-Modell-Transformationen wird daraus plattformspezifischer Java Code sowie eine formale Spezifikation generiert. Um Informationsflusseigenschaften von Programmen zu verifizieren, werden automatischen Techniken verwendet, die auf sprachbasierten Checks und abstrakter Interpretation beruhen. Die Resultate dieser Analysen werden dann als zentrale Theoreme im Beweis der anwendungsspezifischen Eigenschaften verwendet. Der Fokus liegt auf Android Anwendungen und Java Webservices.

DFG-Verfahren Schwerpunktprogramme

Teilprojekt zu SPP 1496:  Reliably Secure Software Systems - Zuverlässig sichere Softwaresysteme