Екранизирани мобилни апликации - Бесплатно преземање PDF

Мобилните апликации ги испитуваат безбедносните празнини и нападите врз апликациите Др. Julулијан Шуте, Фраунхофер AISEC/Breakpoint GmbH Фраунхофер

апликации

Кратка презентација на раководителот на одделот „Безбедни услуги и апликации“, Фраунхофер АИСЕК истражувач за безбедност: Статичка и динамична анализа на кодот Управен директор Breakpoint GmbH (спин-оф компанија на Фраунхофер) Ап-Реј: Целосно автоматска анализа на безбедноста на апликациите http://www.app-ray.com Апликација Фраунхофер 2 -Реј

Како да направите рентген апликација Што е со безбедноста на апликациите? Погледнете ги примерите на пазарот од лабораторијата Кои се заштитните мерки? Фраунхофер 3 Ап-Реј

Како да испитате апликација: Автоматско обратно инженерство Распакувајќи разбирање Мета податоци Расклопување, реконструкција на покажувачот Fraunhofer 4 App-Ray

Како да направите рентген апликација: Реконструирање на автоматски графикони за обратни инженеринг на повици Разбирање на протокот на податоци и функционалноста 1. Евалуација на Fraunhofer 5

Како да направите рентген апликација: Извршете апликација за динамичка анализа и истражете, набудувајте ја комуникацијата и однесувањето 2. Евалуација на Fraunhofer 6 App-Ray

Како да направите рентген апликација: Евалуација на извештајот за безбедност, извештај за заштита на податоците, Fraunhofer 7 App-Ray

241 врвна банкарска апликација 28% 7% 72% Погрешно проверување на TLS сертификати 93% Без заштита од слабеење (Наметка на нога) - 20% 20% 80% Скршена криптографија 80% Веб-содржина има пристап до системот Фраунхофер 9 Ап-Реј

Комуникациско однесување на 10.000 најпопуларни апликации Личните податоци се испраќаат до 6841 сервер без согласност Fraunhofer 10 App-Ray

Пример WhatsApp (1/2) WhatsApp криптира пораки со „безбедност од крај до крај“ Дали „безбедноста од крај до крај“ значи „сè од крај до крај“ значи дека сè останува доверливо? Слабости во криптографските протоколи Големината и времето на пораката овозможуваат диференцијација помеѓу видовите на пораки (текстуални пораки, синхронизација, блокирање на корисник), должината на пораките силно е во корелација со обичен текст Медиумите не се пренесуваат директно, туку до серверот за складирање mmx-ds.cdn.whatsapp.net Meta - Синхронизација на податоците до серверот WhatsApp, телефонски именик со размена на хаши на телефонскиот број Членовите на групен разговор се познати на WhatsApp Fraunhofer 11

Пример WhatsApp (2/2) Ранливост во WhatsApp WhatsApp ги зачувува испратените и примените медиумски датотеки во папки за јавно пишување (фотографии, говорни пораки, документи) Апликациите зачувуваат хаш од датотеки, но не ги проверуваат Сите апликации на уредот можат да читаат и објавуваат податоци на WhatsApp за медиуми, изменете и избришете дури и пред да бидат прикажани во WhatsApp! Не испраќајте никакви приватни слики/документи преку WhatsApp! Не добиени приватни слики/документи! На добиените медиумски датотеки не може да им се верува! Демо видео: https://youtu.be/pn02g_elhb0 Fraunhofer 12 App-Ray

Небезбедна апликација може да ги загрози сите податоци на паметниот телефон Апликацијата за способност Leak Legitimate дозволува пристап до привилегираните функции на системот преку незаштитени интерфејси Примери за овластување Samsung Kies дозволува инсталирање на какви било апликации во позадина Не може да се отстрани Далечински управувач на портата Certifi-Gate преку неправилната апликација TeamViewer 1 Android Систем 1 Certifi-Gate: пристап до влезната врата до милиони уреди со Android. Fraunhofer 13 App-Ray Охад Бобров, Ави Башан. BlackHat 2015 незаштитен интерфејс привилегиран API за легитимен менаџер на пакети за апликации Патека за повици

Ефективност на заштитните мерки Fraunhofer App-Ray

Заштита од антивирусни апликации? Студија: "За ефективноста на заштитата од малициозен софтвер на Андроид. Евалуација на апликациите за антивирус на Андроид" 100% 80% 60% 40% 20% 0% Познати малициозен софтвер модифициран малициозен софтвер модифициран корен експлоатира Непознати малициозен софтвер антивирусни апликации се предмет на истото песок како нормални апликации Динамичко повторно вчитување на експлоатациите на коренот Fraunhofer 15 App-Ray

Заштита од пазар? „Секој ден, Google Play Protect автоматски прегледува 50 милијарди апликации„ 1 “Прегледи“? „50 милијарди на ден“ = 578.703 апликации/секунда Распакувајќи апликација (11 MB) на конвенционален компјутер: потребна компјутерска моќност од 8 секунди

4,6 милиони пати повеќе од вообичаените компјутерски „Прегледи“: споредби со базата на податоци Проверката на апликациите пред да бидат понудени за преземање не е детално документирана 1 https://android-developers.googleblog.com/2018/03/android-security -2017-година-во-преглед. Html Fraunhofer 16 App-Ray

Заштита од Apple AppStore? Објавување преку Apple AppStore: Потребен сертификат за програмер + преглед на апликација Програмерите се познати на Apple и може да бидат санкционирани Проценето време по преглед на апликација:

Прегледот од 30 секунди може да се заобиколи 1,2 Enterprise сертификатите овозможуваат инсталација без преглед Безбедносните механизми на телефонот може да се заобиколат 1,3 1 Wang, T.; Лу, К. Лу, Л. Чунг, С .; Ли, В. ekекил на иос: кога бенигните апликации стануваат зли. На 22-от Симпозиум за безбедност на УСЕНИКС, стр. 559 572, 2013 година. 2 Хан, Кју, Јан, Бао, Денг, Гао, Ли, ouоу. Лансирање генерички напади на ios со одобрени апликации од трети страни во ACNS 2013 3 SandScout: Автоматско откривање на недостатоци во профилите на sandbox на ios Fraunhofer 17 App-Ray

ios Application Transport Security ATS ги принудува апликациите да користат HTTPS многу разумен механизам Apple сака да ги направи ATS задолжителни за сите апликации Но, тогаш 1 декември 2016 година 21 декември 2017 година 1 јануари 2017 сè уште не е задолжително> 80% од апликациите ги исклучуваат ATS nsapptransportsecurity nsallowsarbitraryloads Apple ги одложува крајниот рок за „недефиниран“ Краен рок за задолжителна употреба на ATS Fraunhofer 18 App-Ray

SafetyNet Дали сум нападнат? SN паметен телефон со идеја да/не. (Многу) податоци се собираат на (ранливата) апликација за паметен телефон и уредот се проценува од страната на серверот Безбедносните мрежни напаѓачи треба да фалсификуваат податоци (но кои?) Одлично: Програмерите повикуваат API и се „безбедни“ Fraunhofer 19

SafetyNet: Како работи навистина? Точна верзија на услугите на Google Play? Апликација заден дел 1: нонкес? 2: неподнесување n 5: одговор на потврда (n ') 3: потврда (api_key, n) 4: одговор на потврда (n') SN 6: Проверка на резултатот: Паметен телефон n = n '? одговор за атестирање од Google? Името на пакетот апликација е точно? потврда за АПК точна? временски печат нов? основен интегритет = точно? ctsprofilematch = точно? Извлечете синџир на SSL сертификати од одобрение за потврда Потврдете го синџирот на сертификати за SSL Проверете дали SSL име на домаќин на лист сертификат = attest.android.com Користете јавен клуч на сертификат за да го потврдите одговорот за потврда на потписот Fraunhofer 20 App-Ray SafetyNet Server

SafetyNet: Проверка на стапиците Одговорот на SafetyNet во апликацијата е бесмислен Може да се отстрани или пребрише За проверка на задниот дел, корисникот мора да биде онлајн. Инаку? На пример, покриеност на внатрешната мрежа

30% проверка на одговорот на SafetyNet преку Google API е наменета само за развојни цели Ограничено на 1000 барања Проверката на одговорот на SafetyNet во вашиот заден план е комплицирана Што значи „ctsprofile“? Кога временската марка е сè уште „актуелна“? Фраунхофер 21 Ап-Реј

SafetyNet: Како работи навистина (навистина сега) Play Store Hash 0x02349272348ab230ef 0x8ba89234c83f39d2e7 0xcab398efa93c23f87ba Валидно? Да да не 8: sha256 апликација backend 3: nonce? 4: nonce n 7: одговор на потврда (n ') Точна верзија на услугите на Google Play? 5: атест (api_key, n) 6: одговор на потврда (n ') SN App Hash DB 9: валиден 10: Резултат 2: развивач на apk 1: sha256 (apk) Проверете: Паметен телефон n = n'? одговор за атестирање од Google? Името на пакетот апликации е точно? потврда за АПК точна? временски печат нов? основен интегритет = точно? ctsprofilematch = точно? Извлечете синџир на SSL сертификати од одобрение за потврда Потврдете го синџирот на сертификати за SSL Проверете дали SSL име на домаќин на лист сертификат = attest.android.com Користете јавен клуч на сертификат за да го потврдите одговорот за потврда на потписот Fraunhofer 22 App-Ray SafetyNet Server

Што носат заштитните мерки? Едноставните скенери за вируси не решаваат проблем Google & Apple прават обид да ги направат платформите побезбедни и да обезбедат заштитни мерки Програмерите се охрабруваат да ги користат Мерките како што се SafetyNet & ATS се добро осмислени, бесплатни и нудат заштита. Но: програмерите се мрзливи се под притисок на време и трошоци Заштитните механизми не ве ослободуваат од каква било работа, но создаваат дополнителна подложност на грешки и се зголемува корисничкото искуство Fraunhofer 23 App-Ray

Заклучок Скоро сите апликации имаат безбедносни празнини Пишувањето апликација е лесно, но пишувањето безбедна апликација е тешко и скапо. Дури и несигурна апликација може да ги загрози сите податоци на телефонот. Оштетените апликации исто така може да доаѓаат од доверливи извори и од познати компании „Ако нешто е бесплатно, вие не сте клиент, туку производот „Fraunhofer 24 App-Ray

Заклучок Што можам да направам? Здрав разум Добијте преглед: Кои податоци се каде? За што се користат апликациите? Создадете безбедносен концепт Добијте информации за одделни апликации! Лозинка на уредот за технологија, шифрирање на целосниот диск вклучете ги списоците со бели. Не преземајте и инсталирајте сè Одделете професионални податоци од остатокот на системот (решенија за контејнери) Fraunhofer 25 App-Ray