Vizsgálják a mobilalkalmazásokat - PDF ingyenes letöltés
A mobilalkalmazások megvizsgálják a biztonsági hiányosságokat és az alkalmazások elleni támadásokat Dr. Julian Schütte, Fraunhofer AISEC/Breakpoint GmbH Fraunhofer
A "Biztonságos szolgáltatások és alkalmazások" osztályvezető rövid bemutatása, Fraunhofer AISEC biztonsági kutató: Statikus és dinamikus kódelemzés Ügyvezető igazgató Breakpoint GmbH (Fraunhofer spin-off cég) App-Ray: Az alkalmazások teljesen automatikus biztonsági elemzése http://www.app-ray.com Fraunhofer 2 App -Sugár
Hogyan röntgenezhetünk egy alkalmazást Mi a helyzet az alkalmazások biztonságával? Nézze meg a laboratóriumi piaci példákat. Mik azok a védőintézkedések? Fraunhofer 3 App-Ray
Hogyan kell megvizsgálni az alkalmazást: Automatikus fordított tervezés Kicsomagolás A metaadatok megértése Szétszerelés, mutató rekonstrukció Fraunhofer 4 App-Ray
Az alkalmazás röntgenfelvétele: Automatikus fordított mérnöki hívásgrafikonok rekonstrukciója Az adatáramlás és a funkcionalitás megértése 1. Értékelés Fraunhofer 5 App-Ray
Hogyan kell röntgenezni egy alkalmazást: Dinamikus elemző alkalmazás végrehajtása és felfedezése Figyelje meg a kommunikációt és a viselkedést 2. Értékelés Fraunhofer 6 App-Ray
Az alkalmazás röntgenfelvétele: A biztonsági jelentés értékelése, adatvédelmi jelentés, Fraunhofer 7 App-Ray
241 legnépszerűbb banki alkalmazás 28% 7% 72% A TLS-tanúsítványok helytelen ellenőrzése 93% Nincs védelem a lefejtés ellen (Cloak 'n Dagger támadás) 20% 20% 80% Megtört kriptográfia 80% A webes tartalom hozzáférést biztosít a rendszerhez Fraunhofer 9 App-Ray
A 10 000 legnépszerűbb alkalmazás kommunikációs viselkedése A személyes adatokat 6841 szerverre küldjük beleegyezés nélkül Fraunhofer 10 App-Ray
Példa WhatsApp (1/2) WhatsApp titkosítja az üzeneteket "end-to-end biztonság" -kal. A "end-to-end biztonság" azt jelenti, hogy minden bizalmas marad? A kriptográfiai protokollok gyengeségei Az üzenet mérete és időzítése lehetővé teszi az üzenettípusok megkülönböztetését (szöveges üzenetek, szinkronizálás, a felhasználó blokkolása,) Az üzenetek hossza szorosan korrelál az egyszerű szöveggel. A média nem közvetlenül, hanem az mmx-ds.cdn.whatsapp.net Meta szerverre kerül -A WhatsApp szerver adatainak szinkronizálása a telefonszám-hash cseréjével A csoportos csevegés tagjait ismeri a WhatsApp Fraunhofer 11 App-Ray
Példa WhatsApp (2/2) biztonsági rés a WhatsApp alkalmazásban A WhatsApp elküldött és fogadott médiafájlokat nyilvánosan írható mappákba (fotók, hangüzenetek, dokumentumok) menti. Az alkalmazások menti a fájlok kivonatát, de nem ellenőrzi őket. A készüléken található összes alkalmazás olvashatja és közzéteheti a WhatsApp médiaadatait, módosítsa és törölje, még mielőtt megjelennek a WhatsApp-ban! Ne küldjön privát képeket/dokumentumokat a WhatsApp-on keresztül! Nem érkezett privát kép/dokumentum! A fogadott médiafájlokat nem lehet megbízni! Bemutató videó: https://youtu.be/pn02g_elhb0 Fraunhofer 12 App-Ray
A nem biztonságos alkalmazás veszélyeztetheti az okostelefon összes adatait. A Capability Leak Legitimate alkalmazás lehetővé teszi a privilegizált rendszerfunkciókhoz való hozzáférést védtelen felületeken keresztül. Engedélyezési példák A Samsung Kies lehetővé teszi bármely alkalmazás telepítését a háttérben Nem lehet eltávolítani Certifi-Gate A teljes okostelefon távvezérlése hibás TeamViewer alkalmazással 1 Android 1. rendszer Certifi-Gate: A bejárati ajtóhoz való hozzáférés több millió Android-eszközhöz jut. Fraunhofer 13 App-Ray Ohad Bobrov, Avi Bashan. BlackHat 2015 Védtelen felület Privileged API Legitimate App Package Manager hívási útvonal
A védelmi intézkedések hatékonysága Fraunhofer App-Ray
Védelem vírusirtó alkalmazásokkal? Tanulmány: "A rosszindulatú programok elleni védelem hatékonyságáról az Androidon. Az Android víruskereső alkalmazásainak értékelése" 100% 80% 60% 40% 20% 0% Ismert kártékony programmal módosított kártékony szoftverrel módosított gyökérkihasználás Ismeretlen kártékony programok A víruskereső alkalmazások ugyanazon homokozó alá esnek mint a normál alkalmazások A gyökér dinamikus újratöltése kihasználja a Fraunhofer 15 App-Ray alkalmazást
Védelem a piactól? "A Google Play Protect minden nap automatikusan ellenőrzi az 50 milliárd alkalmazást." 1 "Vélemények"? "Napi 50 milliárd" = 578 703 alkalmazás/másodperc Alkalmazás (11 MB) kicsomagolása hagyományos számítógépen: 8 másodperc szükséges számítási teljesítmény
4,6 milliószor annyi, mint egy normál számítógép "Vélemények": összehasonlítások egy adatbázissal Az alkalmazások ellenőrzése, mielőtt letöltésre kínálnák őket, nincs részletesen dokumentálva 1 https://android-developers.googleblog.com/2018/03/android-security -2017-year-in-review.html Fraunhofer 16 App-Ray
Védelem az Apple AppStore által? Közzététel az Apple AppStore-on keresztül: Fejlesztői tanúsítványra és alkalmazás-felülvizsgálatra van szükség. A fejlesztőket az Apple ismeri, és szankcionálhatók. Alkalmazás-ellenőrzésenként becsült idő:
30 másodperc áttekintés megkerülhető 1,2 Vállalati tanúsítványok lehetővé teszik a telepítést felülvizsgálat nélkül. A telefon biztonsági mechanizmusai megkerülhetők 1,3 1 Wang, T.; Lu, K.; Lu, L.; Chung, S.; Lee, W. Jekyll az ios-on: amikor a jóindulatú alkalmazások gonosszá válnak. A 22. USENIX Biztonsági Szimpóziumon, 2013. 559 572. o. 2 Han, Kywe, Yan, Bao, Deng, Gao, Li, Zhou. Általános támadások indítása az ios-on jóváhagyott, harmadik féltől származó alkalmazásokkal az ACNS 2013-ban 3 SandScout: Hibák automatikus észlelése az ios Sandbox-profilokban Fraunhofer 17 App-Ray
ios Application Transport Security Az ATS kényszeríti az alkalmazásokat a HTTPS használatára, nagyon értelmes mechanizmussal. Az Apple minden alkalmazás számára kötelezővé kívánja tenni az ATS-t. De akkor 2016. december 1., 2016. december 21., 2017. január 1., még mindig nem kötelező> Az alkalmazások 80% -a kikapcsolja az ATS nsapptransportsecurity nsallowsarbitraryloads Apple elhalasztja az ATS Fraunhofer 18 App-Ray kötelező használatának "meghatározatlan" határideje
SafetyNet Támadtak már engem? SN Idea okostelefon igen/nem. (Sok) adatot gyűjtenek a (sérülékeny) okostelefon-alkalmazásról, és az eszközt a szerver oldalon értékelik. A SafetyNet Server Attackereknek hamisítaniuk kell az adatokat (de melyiket?) Nagyszerű: A fejlesztők felhívnak egy API-t és "biztonságosak" Fraunhofer 19 App-Ray
SafetyNet: Hogyan működik valójában? A Google Play Services helyes verziója? 1. háttérháttér: nonce? 2: nonce n 5: tanúsítási válasz (n ') 3: tanúsítás (api_key, n) 4: igazolási válasz (n') SN 6: Eredmény ellenőrzése: Okostelefon n = n '? igazolási válasz a Google-tól? helyes az alkalmazáscsomag neve? igaz az APK tanúsítványa? időbélyeg új? alapintegritás = igaz? ctsprofilematch = igaz? SSL-tanúsítványlánc kivonása az atestationresponse-ból Az SSL-tanúsítványlánc érvényesítése Ellenőrizze, hogy a levél tanúsítvány SSL-gazdagépneve = attest.android.com Használja-e a tanúsítvány nyilvános kulcsát az aláírás-tanúsítási válasz megválaszolásához Fraunhofer 20 App-Ray SafetyNet Server
SafetyNet: Buktatók A SafetyNet válaszának ellenőrzése az alkalmazásban értelmetlen. Eltávolítható vagy felülírható. A felhasználónak online állapotban kell lennie, hogy ellenőrizhesse a háttérprogramot. Másképp? Pl. Beltéri hálózati lefedettség
A SafetyNet válaszainak 30% -os ellenőrzése a Google API-n keresztül csak fejlesztési célokat szolgál. 1000 kérésre korlátozva A SafetyNet válaszainak ellenőrzése a saját háttérprogramjában bonyolult. Mikor az "időbélyeg" még mindig "aktuális"? Fraunhofer 21 App-Ray
SafetyNet: Hogyan működik valójában (valójában most) Play Store Hash 0x02349272348ab230ef 0x8ba89234c83f39d2e7 0xcab398efa93c23f87ba Érvényes? Igen igen nem 8: sha256 app backend 3: nonce? 4: nonce n 7: attestationresponse (n ') A Google Play Services helyes verziója? 5: tanúsítás (api_key, n) 6: tanúsítási válasz (n ') SN App Hash DB 9: érvényes 10: 2. eredmény: apk fejlesztő 1: sha256 (apk) Ellenőrzés: Smartphone n = n'? igazolási válasz a Google-tól? helyes az alkalmazáscsomag neve? igaz az APK tanúsítványa? időbélyeg új? alapintegritás = igaz? ctsprofilematch = igaz? SSL-tanúsítványlánc kivonása az attestationresponse-ból SSL-tanúsítvány-lánc érvényesítése Ellenőrizze, hogy a levél tanúsítvány SSL-gazdagépneve = attest.android.com Használja-e a tanúsítvány nyilvános kulcsát az aláírás-tanúsítási válasz megválaszolásához Fraunhofer 22 App-Ray SafetyNet Server
Mit hoznak a védintézkedések? Az egyszerű víruskeresők nem oldják meg a problémát De: a fejlesztők lusták, idő- és költségnyomás alatt állnak. A védőmechanizmusok nem mentesítenek semmilyen munkától, de további hajlamot generálnak a hibákra és a felhasználói élmény romlik Fraunhofer 23 App-Ray
Következtetés Szinte minden alkalmazásban vannak biztonsági hiányosságok Az alkalmazás megírása egyszerű, de a biztonságos alkalmazás megírása nehéz és drága. Még egy nem biztonságos alkalmazás is veszélyeztetheti a telefon összes adatait. A káros alkalmazások megbízható forrásokból és ismert vállalatoktól is származhatnak "Ha valami ingyenes, Ön nem a vásárló, hanem a "Fraunhofer 24 App-Ray
Következtetés Mit tehetek? A józan ész: Áttekintés: Mely adatok hol vannak? Mire használják az alkalmazásokat? Hozzon létre egy biztonsági koncepciót Információ az egyes alkalmazásokról! A technológiai eszköz jelszava, a teljes lemezes titkosítás bekapcsolja az engedélyezőlistákat. Ne töltsön le és ne telepítsen mindent. Különítse el a szakmai adatokat a rendszer többi részétől (konténer megoldások) Fraunhofer 25 App-Ray