Die Forschungen des 38-Jährigen befassen sich mit Themen der Web- und Datensicherheit. Dabei ist sein Ziel, Sicherheitsschwachstellen zu identifizieren, diese zu verstehen und daraus Gegenmaßnahmen zum Schutz vor solchen Attacken zu entwickeln.
Zu Beginn seiner Forschungstätigkeit untersuchte er Risiken, die durch Datenformate wie JSON und XML entstehen können. Diese Formate werden von Internetnutzerinnen und nutzer täglich im Hintergrund verwendet – zum Beispiel beim Surfen mit dem Web-Browser. Wenn solche Datenformate unsicher verarbeitet werden, kann das schwerwiegende Folgen haben: Angreifende könnten sich zum Beispiel als jemand anderes ausgeben und auf fremde Webseiten zugreifen, um dort persönliche Daten zu stehlen.
In seiner jüngsten Forschung beschäftigt er sich mit Sicherheitslücken in der Handhabung digital signierter PDF-Dokumente. In einem gemeinsamen Projekt mit Kolleginnen und Kolleginnen von der Ruhr-Universität Bochum zeigte er bereits 2019 auf, wie aus einer beliebigen Amazon-Rechnung eine Rückerstattung über eine Billion Dollar umgewandelt wurde.
Dabei blieb selbst die digitale Signatur von Amazon in der manipulierten Rückerstattung gültig, obwohl genau diese eigentlich den Zweck hat, solche Manipulationen zu erkennen. Ebenso untersucht er die Einbettung und Ausführung von Programmcode in Office-Dokumenten, was häufig als Grundlage für Malware-Angriffe genutzt wird.
