Testované mobilné aplikácie - PDF na stiahnutie zadarmo
Mobilné aplikácie skúmajú medzery v zabezpečení a útoky na aplikácie Dr. Julian Schütte, Fraunhofer AISEC/Breakpoint GmbH Fraunhofer
Stručná prezentácia vedúceho oddelenia „Zabezpečené služby a aplikácie“, bezpečnostného výskumníka Fraunhofer AISEC: Statická a dynamická analýza kódu Výkonný riaditeľ Breakpoint GmbH (spoločnosť spin-off Fraunhofer) App-Ray: Plne automatická bezpečnostná analýza aplikácií http://www.app-ray.com Aplikácia Fraunhofer 2 -Ray
Ako röntgenovať aplikáciu A čo bezpečnosť aplikácií? Pozrite sa na príklady z laboratória na trhu. Čo sú ochranné opatrenia? Fraunhofer 3 App-Ray
Ako preskúmať aplikáciu: Automatické reverzné inžinierstvo Rozbalenie Porozumenie metaúdajom Demontáž, rekonštrukcia ukazovateľa Fraunhofer 4 App-Ray
Ako preskúmať aplikáciu: Rekonštrukcia grafov hovorov spätného inžinierstva Porozumenie dátovým tokom a funkčnosti 1. Vyhodnotenie Fraunhofer 5 App-Ray
Ako röntgenovať aplikáciu: Vykonajte aplikáciu dynamickej analýzy a preskúmajte Pozorujte komunikáciu a správanie 2. Hodnotenie Fraunhofer 6 App-Ray
Ako röntgenovať aplikáciu: Vyhodnotenie bezpečnostnej správy, správy o ochrane údajov, Fraunhofer 7 App-Ray
241 najlepších bankových aplikácií 28% 7% 72% Nesprávna kontrola certifikátov TLS 93% Žiadna ochrana pred skimmingom (útokom Cloak 'n Dagger) 20% 20% 80% Zlomená kryptografia 80% Webový prístup získal prístup do systému Fraunhofer 9 App-Ray
Komunikačné správanie 10 000 najpopulárnejších aplikácií Osobné údaje sa bez súhlasu odosielajú na 6841 serverov Fraunhofer 10 App-Ray
Príklad WhatsApp (1/2) WhatsApp šifruje správy pomocou „zabezpečenia typu end-to-end“ Znamená to, „zabezpečenie typu end-to-end“, že všetko zostáva dôverné? Nedostatky v kryptografických protokoloch Veľkosť a načasovanie správy umožňujú rozlíšenie medzi typmi správ (textové správy, synchronizácia, blokovanie používateľa,). Dĺžka správ silne koreluje s obyčajným textom. Médiá sa neprenášajú priamo, ale na úložný server mmx-ds.cdn.whatsapp.net Meta -Dáta na server WhatsApp synchronizácia telefónneho zoznamu výmenou hash telefónneho čísla Členovia skupinového chatu sú známi WhatsApp Fraunhofer 11 App-Ray
Príklad WhatsApp (2/2) Zraniteľnosť v aplikácii WhatsApp WhatsApp ukladá odoslané a prijaté mediálne súbory do verejne zapisovateľných priečinkov (fotografie, hlasové správy, dokumenty) Aplikácie ukladajú hašovacie súbory, ale nekontrolujú ich Všetky aplikácie v zariadení môžu čítať a zverejňovať mediálne údaje WhatsApp, upravovať a mazať ešte predtým, ako sa zobrazia v aplikácii WhatsApp! Neposielajte žiadne súkromné obrázky/dokumenty cez WhatsApp! Neboli prijaté žiadne súkromné obrázky ani dokumenty! Prijatým mediálnym súborom nemožno dôverovať! Demo video: https://youtu.be/pn02g_elhb0 Fraunhofer 12 App-Ray
Nezabezpečená aplikácia môže ohroziť všetky údaje v smartfóne Aplikácia Capability Leak Legitimate umožňuje prístup k privilegovaným funkciám systému prostredníctvom nechránených rozhraní Príklady autorizácie Samsung Kies Umožňuje inštaláciu akýchkoľvek aplikácií na pozadí Nie je možné odstrániť Certifi-Gate Diaľkové ovládanie celého smartfónu prostredníctvom chybnej aplikácie TeamViewer 1 Android Systém 1 Certifi-Gate: Prístup prednými dverami k budovaniu miliónov zariadení s Androidom. Fraunhofer 13 App-Ray Ohad Bobrov, Avi Bashan. Nechránené rozhranie BlackHat 2015 Privilegované API Legitímna cesta volajúceho správcu balíkov aplikácií
Účinnosť ochranných opatrení Fraunhofer App-Ray
Ochrana antivírusovými aplikáciami? Štúdia: „O efektívnosti ochrany pred malvérom v systéme Android. Vyhodnotenie antivírusových aplikácií pre Android“ 100% 80% 60% 40% 20% 0% Známy malvér Upravený malvér Upravený koreň využíva neznáme malvérové antivírusové aplikácie podliehajú rovnakému karanténu ako bežné aplikácie Dynamické opätovné načítanie root využíva Fraunhofer 15 App-Ray
Ochrana pred trhom? „Google Play Protect každý deň automaticky kontroluje 50 miliárd aplikácií„ 1 “Recenzie? „50 miliárd denne“ = 578 703 aplikácií za sekundu Vybalenie aplikácie (11 MB) na konvenčnom počítači: výpočtový výkon potrebný na 8 sekúnd
4,6 miliónovkrát viac ako bežný počítač „Recenzie“: porovnania s databázou Kontrola aplikácií pred tým, ako sa ponúknu na stiahnutie, nie je podrobne zdokumentovaná 1 https://android-developers.googleblog.com/2018/03/android-security -2017-rok-in-review.html Fraunhofer 16 App-Ray
Ochrana prostredníctvom Apple AppStore? Publikovanie prostredníctvom Apple AppStore: Vyžaduje certifikát vývojára + kontrola aplikácie Vývojári sú spoločnosti Apple známi a je možné ich sankcionovať Odhadovaný čas na kontrolu aplikácie:
30-sekundovú kontrolu je možné obísť 1,2 Podnikové certifikáty umožňujú inštaláciu bez kontroly Je možné obísť bezpečnostné mechanizmy v telefóne 1,3 1 Wang, T.; Lu, K.; Lu, L.; Chung, S.; Lee, W. Jekyll v systéme iOS: keď sa z benígnych aplikácií stanú zlo. Na 22. USENIX Security Symposium, s. 559 572, 2013. 2 Han, Kywe, Yan, Bao, Deng, Gao, Li, Zhou. Spustenie všeobecných útokov na iOS so schválenými aplikáciami tretích strán v ACNS 2013 3 SandScout: Automatická detekcia chýb v profiloch sandboxu ios Fraunhofer 17 App-Ray
ios Zabezpečenie prenosu aplikácií ATS núti aplikácie používať veľmi rozumný mechanizmus HTTPS Apple chce, aby bol ATS povinný pre všetky aplikácie. Ale potom 1. decembra 2016 21. decembra 2017 1. januára 2017 stále povinné> 80% aplikácií vypne ATS nsapptransportsecurity nsallowsarbitraryloads Apple odkladá termín „nedefinovaného“ termínu povinného používania ATS Fraunhofer 18 App-Ray
SafetyNet Bol som napadnutý? Smartfón SN Idea áno/nie. (Veľa) údajov sa zhromažďuje na (zraniteľnom) smartfóne Aplikácia a zariadenie sa vyhodnocujú na strane servera Útočníci servera SafetyNet musia falšovať údaje (ale ktoré?) Skvelé: Vývojári vyvolajú rozhranie API a sú „bezpečné“ Fraunhofer 19 App-Ray
SafetyNet: Ako to v skutočnosti funguje? Správna verzia služieb Google Play? Backend aplikácie 1: nonce? 2: nonce n 5: attestationresponse (n ') 3: attest (api_key, n) 4: attestationresponse (n') SN 6: Kontrola výsledku: Smartphone n = n '? odpoveď na potvrdenie od spoločnosti Google? názov balíka aplikácie správny? osvedčenie APK správne? nová časová známka? basicintegrity = true? ctsprofilematch = pravda? Extrahujte reťazec certifikátov SSL z overovacej odpovede Overte reťazec certifikátu SSL Skontrolujte, či je názov hostiteľa SSL listového certifikátu = attest.android.com Na overenie podpisu overovací podpis použite verejný kľúč certifikátu Fraunhofer 20 Server App-Ray SafetyNet
SafetyNet: Úskalia Kontrola odpovede SafetyNet v aplikácii je nezmyselná Môže byť odstránená alebo prepísaná Pre kontrolu v back-ende musí byť užívateľ online. Inak? Napríklad pokrytie vnútornou sieťou
30% kontrola odpovede SafetyNet cez Google API je určená iba na vývojové účely Obmedzené na 1 000 požiadaviek Kontrola odpovede SafetyNet vo vašom vlastnom backende je komplikovaná Čo znamená „ctsprofile“? Kedy je časová pečiatka stále „aktuálna“? Fraunhofer 21 App-Ray
SafetyNet: Ako to v skutočnosti funguje (skutočne teraz) Obchod Play Hash 0x02349272348ab230ef 0x8ba89234c83f39d2e7 0xcab398efa93c23f87ba Platné? Áno áno nie 8: backend aplikácie sha256 3: nonce? 4: nonce n 7: attestationresponse (n ') Správna verzia služieb Google Play? 5: attest (api_key, n) 6: attestationresponse (n ') SN App Hash DB 9: valid 10: Result 2: apk developer 1: sha256 (apk) Check: Smartphone n = n'? odpoveď na potvrdenie od spoločnosti Google? názov balíka aplikácie správny? osvedčenie APK správne? nová časová známka? basicintegrity = true? ctsprofilematch = pravda? Extrahujte reťazec certifikátov SSL z overovacej odpovede Overte reťazec certifikátu SSL Skontrolujte, či je názov hostiteľa SSL listového certifikátu = attest.android.com Na overenie podpisu overovací podpis použite verejný kľúč certifikátu Fraunhofer 22 Server App-Ray SafetyNet
Čo prinášajú ochranné opatrenia? Jednoduché antivírusové programy problém nevyriešia. Google a Apple sa snažia zvýšiť bezpečnosť platforiem a poskytovať ochranné opatrenia. Vývojárom sa odporúča, aby ich používali. Opatrenia ako SafetyNet a ATS sú premyslené, bezplatné a poskytujú ochranu. Ale: vývojári sú leniví, sú pod časovým a nákladovým tlakom Ochranné mechanizmy vás nezbavia práce, ale generujú ďalšiu náchylnosť na chyby, zvyšujú sa a zhoršuje sa používateľská skúsenosť Fraunhofer 23 App-Ray
Záver Takmer všetky aplikácie majú medzery v zabezpečení Napísanie aplikácie je jednoduché, ale napísanie zabezpečenej aplikácie je ťažké a drahé. Aj nezabezpečená aplikácia môže ohroziť všetky údaje v telefóne. Poškodenie aplikácií môže pochádzať aj z dôveryhodných zdrojov a od známych spoločností. „Ak je niečo zadarmo nie ste zákazníkom, ale produktom „Fraunhofer 24 App-Ray
Záver Čo môžem urobiť? Zdravý rozum Získajte prehľad: Ktoré údaje sú kde? Na čo sa používajú aplikácie? Vytvorte bezpečnostný koncept Získajte informácie o jednotlivých aplikáciách! Heslo technologického zariadenia, šifrovanie celého disku zapne zoznamy povolených. Nestahujte a neinštalujte všetko Oddeľte profesionálne údaje od zvyšku systému (riešenia kontajnerov) Fraunhofer 25 App-Ray