Переглянуто мобільні додатки - PDF скачати безкоштовно

Мобільні програми вивчають прогалини та атаки на програми Dr. Джуліан Шютте, Fraunhofer AISEC/Breakpoint GmbH Fraunhofer

мобільні

Коротка презентація керівника підрозділу "Безпечні послуги та додатки", дослідник безпеки Fraunhofer AISEC: Статичний та динамічний аналіз коду Директор-розпорядник Breakpoint GmbH (компанія-виробник Fraunhofer) App-Ray: Повністю автоматичний аналіз безпеки програм http://www.app-ray.com Fraunhofer 2 App -Промінь

Як робити рентген програми Як щодо безпеки програм? Подивіться на приклади ринку з лабораторії Що таке захисні заходи? Fraunhofer 3 App-Ray

Як перевірити програму: Автоматичне зворотне проектування Розпакування Розуміння метаданих Демонтаж, реконструкція покажчика Fraunhofer 4 App-Ray

Як перевірити програму: Реконструкція автоматичних графіків зворотних інженерних викликів Розуміння потоків даних та функціональних можливостей 1. Оцінка Fraunhofer 5 App-Ray

Як рентгенограмувати додаток: Запустити додаток для динамічного аналізу та дослідити, спостерігати за спілкуванням та поведінкою 2. Оцінка Fraunhofer 6 App-Ray

Як робити рентген програми: Оцінка звіту про безпеку, звіт про захист даних, Fraunhofer 7 App-Ray

241 найкраща банківська програма 28% 7% 72% Неправильна перевірка сертифікатів TLS 93% Відсутність захисту від обробки (атака Cloak 'Dagger) 20% 20% 80% Порушена криптографія 80% Веб-вмісту надано доступ до системи Fraunhofer 9 App-Ray

Поведінка спілкування 10 000 найпопулярніших додатків Особисті дані надсилаються на 6841 сервер без згоди Fraunhofer 10 App-Ray

Приклад WhatsApp (1/2) WhatsApp шифрує повідомлення з "наскрізною безпекою" Чи означає "наскрізна безпека", що все залишається конфіденційним? Слабкі сторони криптографічних протоколів Розмір і час повідомлення дозволяють розрізняти типи повідомлень (текстові повідомлення, синхронізація, блокування користувача). Довжина повідомлень сильно корелює з простим текстом. Медіа передаються не безпосередньо, а на сервер зберігання mmx-ds.cdn.whatsapp.net Meta -Дані до синхронізації телефонної книги сервера WhatsApp шляхом обміну хешами телефонних номерів Члени групового чату відомі WhatsApp Fraunhofer 11 App-Ray

Приклад WhatsApp (2/2) Уразливість у WhatsApp WhatsApp зберігає надіслані та отримані медіа-файли в загальнодоступних папках (фотографії, голосові повідомлення, документи) Програми зберігають хеші файлів, але не перевіряють їх. Усі програми на пристрої можуть читати та публікувати медіа-дані WhatsApp, модифікуйте та видаляйте ще до того, як вони відображатимуться у WhatsApp! Не надсилайте приватні фотографії/документи через WhatsApp! Не отримано приватних фотографій/документів! Отриманим медіафайлам не можна довіряти! Демонстраційне відео: https://youtu.be/pn02g_elhb0 Fraunhofer 12 App-Ray

Незахищений додаток може загрожувати всім даним на смартфоні. Законний додаток Capability Leak дозволяє отримати доступ до привілейованих системних функцій через незахищені інтерфейси. Приклади авторизації. Samsung Kies. Дозволяє встановлювати будь-які програми у фоновому режимі. Неможливо видалити. Certifi-Gate. Система 1 Certifi-Gate: доступ до вхідних дверей для розгрому мільйонів пристроїв Android. Fraunhofer 13 App-Ray Охад Бобров, Аві Башан. Шлях виклику захищеного інтерфейсу незахищеного інтерфейсу BlackHat Legitimate API Package App Manager

Ефективність захисних заходів Fraunhofer App-Ray

Захист антивірусними програмами? Дослідження: "Про ефективність захисту від шкідливих програм на Android. Оцінка антивірусних програм для Android" 100% 80% 60% 40% 20% 0% Відоме шкідливе програмне забезпечення, модифіковане шкідливе програмне забезпечення, модифіковане коріне використання Невідоме шкідливе програмне забезпечення Антивірусні програми підпадають під дію тієї ж пісочниці як звичайні програми Динамічне перезавантаження кореневих експлойтів Fraunhofer 15 App-Ray

Захист з боку ринку? "Щодня Google Play Protect автоматично перевіряє 50 мільярдів програм" 1 "Відгуки"? "50 мільярдів на день" = 578 703 додатків/секунду Розпакування програми (11 МБ) на звичайному комп'ютері: 8 секунд потрібна обчислювальна потужність

У 4,6 мільйона разів більше, ніж звичайні комп'ютерні "Огляди": порівняння з базою даних Перевірка програм перед тим, як їх запропонувати для завантаження, детально не задокументована 1 https://android-developers.googleblog.com/2018/03/android-security -2017-year-in-review.html Fraunhofer 16 App-Ray

Захист Apple AppStore? Публікація через Apple AppStore: Потрібен сертифікат розробника + огляд програми Розробники відомі Apple і можуть бути санкціоновані Приблизний час на огляд програми:

30 секунд огляду можна обійти 1,2 Сертифікати підприємства дозволяють установку без огляду Механізми безпеки на телефоні можна обійти 1,3 1 Ванг, Т.; Лу, К.; Лу, Л.; Чунг, С.; Лі, В. Джекілл на ios: коли доброякісні програми стають злими. У 22-му симпозіумі з безпеки USENIX, с. 559 572, 2013. 2 Хань, Ківе, Ян, Бао, Ден, Гао, Лі, Чжоу. Запуск загальних атак на ios із затвердженими сторонніми програмами в ACNS 2013 3 SandScout: Автоматичне виявлення недоліків у профілях пісочниці ios Fraunhofer 17 App-Ray

ios Application Transport Security ATS змушує додатки використовувати HTTPS дуже розумний механізм Apple хоче зробити ATS обов’язковим для всіх програм. Але тоді 1 грудня 2016 року 21 грудня 2017 року 1 січня 2017 року все ще не є обов’язковим> 80% програм вимикає ATS nsapptransportsecurity nsallowsarbitraryloads Apple відкладає крайній термін до "невизначеного" терміну для обов'язкового використання ATS Fraunhofer 18 App-Ray

SafetyNet Чи на мене напали? SN Idea смартфон так/ні. (Багато) даних збирається на (вразливому) додатку для смартфона та пристрої оцінюються на стороні сервера. Зловмисники SafetyNet Server повинні фальсифікувати дані (але які?) Чудово: Розробники викликають API і "безпечні" Fraunhofer 19 App-Ray

SafetyNet: Як це насправді працює? Правильна версія служб Google Play? Серверний додаток 1: nonce? 2: nonce n 5: атестаційний відповідь (n ') 3: атестат (api_key, n) 4: атестаційний відповідь (n') SN 6: Перевірка результату: Смартфон n = n '? відповідь атестації від Google? правильна назва пакета програми? сертифікат APK правильний? позначка часу нова? basicintegrity = true? ctsprofilematch = true? Витяг ланцюжка сертифікатів SSL із атестаційного відповіді Перевірте ланцюжок сертифікатів SSL Перевірте, чи ім’я хоста SSL листового сертифіката = attest.android.com Використовуйте відкритий ключ сертифіката для перевірки підпису атестаційного відповіді Fraunhofer 20 App-Ray SafetyNet Server

SafetyNet: підводні камені Перевірка відповіді SafetyNet у програмі безглузда. Може бути видалена або перезаписана. Для перевірки в серверній системі користувач повинен бути в мережі. Інакше? Наприклад, покриття внутрішньої мережі

30% перевірка відповіді SafetyNet через Google API призначена лише для цілей розробки. Обмежена до 1000 запитів Перевірка відповіді SafetyNet у вашому власному серверному середовищі ускладнена Що означає "ctsprofile"? Коли мітка часу все ще "актуальна"? Fraunhofer 21 App-Ray

SafetyNet: Як це насправді працює (насправді зараз) Хеш Play Store 0x02349272348ab230ef 0x8ba89234c83f39d2e7 0xcab398efa93c23f87ba Дійсний? Так так ні 8: бекенд програми sha256 3: ніколи? 4: nonce n 7: atestationresponse (n ') Правильна версія служб Google Play? 5: атестат (api_key, n) 6: атестаціявідповідь (n ') SN App Hash DB 9: дійсний 10: Результат 2: розробник apk 1: sha256 (apk) Перевірка: Смартфон n = n'? відповідь атестації від Google? правильна назва пакета програми? сертифікат APK правильний? позначка часу нова? basicintegrity = true? ctsprofilematch = true? Витяг ланцюжка сертифікатів SSL із атестаційного відповіді Перевірте ланцюжок сертифікатів SSL Перевірте, чи ім’я хоста SSL листового сертифіката = attest.android.com Використовуйте відкритий ключ сертифіката для перевірки підпису атестаційного відповіді Fraunhofer 22 App-Ray SafetyNet Server

Що приносять захисні заходи? Прості антивірусні сканери не вирішують проблему. Google і Apple докладають зусиль, щоб зробити платформи більш безпечними та забезпечити захисні заходи. Розробникам рекомендується використовувати їх. Такі заходи, як SafetyNet та ATS, добре продумані, безкоштовні та пропонують захист. Але: розробники ледачі стикаються з часом і тиском на витрати Захисні механізми не позбавляють вас від будь-якої роботи, але створюють додаткову сприйнятливість до помилок, а користувацький досвід погіршується Fraunhofer 23 App-Ray

Висновок Майже у всіх додатків є прогалини у створенні програми. Написати програму легко, а от написати безпечну програму - складно і дорого. Навіть небезпечна програма може поставити під загрозу всі дані на телефоні. Пошкодження програм також можуть надходити з надійних джерел та відомих компаній "Якщо щось безкоштовно, Ви не замовник, а продукт "Fraunhofer 24 App-Ray

Висновок Що я можу зробити? Здоровий глузд Огляд: Які де дані? Для чого використовуються програми? Створіть концепцію безпеки Отримайте інформацію про окремі програми! Пароль пристрою технології, повне шифрування диска вмикає білі списки. Не завантажуйте та не встановлюйте все Окремі професійні дані від решти системи (контейнерні рішення) Fraunhofer 25 App-Ray