Проверени мобилни приложения - PDF безплатно изтегляне

Мобилните приложения изследват пропуските в сигурността и атаките върху приложенията Dr. Джулиан Шют, Fraunhofer AISEC/Breakpoint GmbH Fraunhofer

безплатно

Кратко представяне на ръководителя на отдел „Сигурни услуги и приложения“, изследовател на сигурността на Fraunhofer AISEC: Статичен и динамичен анализ на кода Управляващ директор Breakpoint GmbH (отделена компания от Fraunhofer) App-Ray: Напълно автоматичен анализ на защитата на приложенията http://www.app-ray.com Fraunhofer 2 App -Рей

Как да рентгеново приложение Какво да кажем за сигурността на приложенията? Погледнете пазарните примери от лабораторията Какво представляват защитните мерки? Fraunhofer 3 App-Ray

Как да разгледаме приложение: Автоматично обратно инженерство Разопаковане Разбиране на мета данни Демонтаж, реконструкция на показалеца Fraunhofer 4 App-Ray

Как да правим рентгеново приложение: Реконструиране на автоматични графики за обратни инженерни повиквания Разбиране на потоците от данни и функционалността 1. Оценка Fraunhofer 5 App-Ray

Как да рентгеново приложение: Изпълнете приложение за динамичен анализ и изследвайте, наблюдавайте комуникация и поведение 2. Оценка Fraunhofer 6 App-Ray

Как да правим рентгеново приложение: Оценка на доклада за сигурност, доклад за защита на данните, Fraunhofer 7 App-Ray

241 топ банкови приложения 28% 7% 72% Неправилна проверка на TLS сертификати 93% Без защита срещу скимминг (атака на Cloak 'n Dagger) 20% 20% 80% Счупена криптография 80% Уеб съдържанието получава достъп до системата Fraunhofer 9 App-Ray

Комуникационно поведение на 10 000 най-популярни приложения Лични данни се изпращат до 6841 сървъра без съгласие Fraunhofer 10 App-Ray

Пример WhatsApp (1/2) WhatsApp криптира съобщения с „защита от край до край“ Дали „защита от край до край“ означава, че всичко остава поверително? Слабости в криптографските протоколи Размерът и времето на съобщенията позволяват разграничаване между типовете съобщения (текстови съобщения, синхронизация, блокиране на потребител,). Дължината на съобщенията силно корелира с обикновен текст Медиите не се предават директно, а на сървъра за съхранение mmx-ds.cdn.whatsapp.net Meta -Данни за синхронизиране на телефонния указател на WhatsApp сървър чрез размяна на хешове на телефонен номер Членовете на групов чат са известни на WhatsApp Fraunhofer 11 App-Ray

Пример WhatsApp (2/2) Уязвимост в WhatsApp WhatsApp запазва изпратени и получени мултимедийни файлове в публично записваеми папки (снимки, гласови съобщения, документи) Приложенията запазват хешове от файлове, но не ги проверяват Всички приложения на устройството могат да четат и публикуват медийни данни на WhatsApp, модифицирайте и изтрийте, дори преди да бъдат показани в WhatsApp! Не изпращайте никакви лични снимки/документи чрез WhatsApp! Не са получени частни снимки/документи! На получените медийни файлове не може да се вярва! Демонстрационно видео: https://youtu.be/pn02g_elhb0 Fraunhofer 12 App-Ray

Несигурно приложение може да застраши всички данни на смартфона Capability Leak Легитимно приложение позволява достъп до привилегировани системни функции чрез незащитени интерфейси Примери за разрешаване Samsung Kies Позволява инсталиране на всякакви приложения във фонов режим Не може да бъде премахнато Certifi-Gate Дистанционно управление на целия смартфон чрез дефектно приложение TeamViewer 1 Android Система 1 Certifi-Gate: Достъп до входната врата за залагане на милиони Android устройства. Fraunhofer 13 App-Ray Охад Бобров, Ави Башан. BlackHat 2015 Незащитен интерфейс Привилегирован API API Легитимен път на повикване на мениджъра на приложения

Ефективност на защитните мерки Fraunhofer App-Ray

Защита от антивирусни приложения? Изследване: „За ефективността на защитата от зловреден софтуер на Android. Оценка на антивирусните приложения за Android“ 100% 80% 60% 40% 20% 0% Известен модифициран зловреден софтуер Модифициран корен експлоатира неизвестен зловреден софтуер Антивирусните приложения са обект на същата пясъчник като нормални приложения Динамично презареждане на root експлойти Fraunhofer 15 App-Ray

Защита от пазара? „Всеки ден Google Play Protect автоматично преглежда 50 милиарда приложения„ 1 „Отзиви“? „50 милиарда на ден“ = 578 703 приложения/секунда Разархивиране на приложение (11MB) на конвенционален компютър: 8 секунди необходима изчислителна мощност

4,6 милиона пъти повече от обикновения компютър „Рецензии“: сравнения с база данни Проверката на приложенията, преди да бъдат предложени за изтегляне, не е документирана подробно 1 https://android-developers.googleblog.com/2018/03/android-security -2017-year-in-review.html Fraunhofer 16 App-Ray

Защита от Apple AppStore? Публикуване чрез Apple AppStore: Изисква сертификат за разработчици + преглед на приложението Разработчиците са известни на Apple и могат да бъдат санкционирани Очаквано време за преглед на приложение:

30 секунди преглед може да бъде заобиколен 1,2 Enterprise сертификати позволяват инсталиране без преглед Механизмите за сигурност на телефона могат да бъдат заобиколени 1,3 1 Wang, T.; Лу, К.; Lu, L.; Chung, S.; Лий, У. Джекил на ios: когато доброкачествените приложения станат зли. В 22-ри симпозиум по сигурността USENIX, стр. 559 572, 2013 г. 2 Han, Kywe, Yan, Bao, Deng, Gao, Li, Zhou. Стартиране на общи атаки върху ios с одобрени приложения на трети страни в ACNS 2013 3 SandScout: Автоматично откриване на недостатъци в профилите на ios Sandbox Fraunhofer 17 App-Ray

ios Application Transport Security ATS принуждава приложенията да използват HTTPS много разумен механизъм Apple иска да направи ATS задължителен за всички приложения Но след това 1 декември 2016 г. 21 декември 2017 г. 1 януари 2017 г. все още не е задължително> 80% от приложенията изключват ATS nsapptransportsecurity nsallowsarbitraryloads Apple отлага крайният срок до „недефиниран“ срок за задължителното използване на ATS Fraunhofer 18 App-Ray

SafetyNet Бил ли съм атакуван? SN Idea смартфон да/не. (Много) данни се събират на (уязвимото) приложение за смартфон и устройството се оценяват от страна на сървъра. SafetyNet Server Attackers трябва да фалшифицират данни (но кои?) Страхотно: Разработчиците извикват API и са "безопасни" Fraunhofer 19 App-Ray

SafetyNet: Как всъщност работи? Правилната версия на услугите на Google Play? Бекенд на приложение 1: nonce? 2: nonce n 5: атестацияотговор (n ') 3: атестат (api_key, n) 4: атестацияотговор (n') SN 6: Проверка на резултата: Смартфон n = n '? отговор на атестация от Google? правилно ли е името на пакета на приложението? сертификатът за APK правилен? клеймо ново? basicintegrity = true? ctsprofilematch = вярно? Извличане на верига на SSL сертификат от атестацияотговорете Проверете веригата на SSL сертификат Проверете дали SSL име на хост на лист сертификат = attest.android.com Използвайте публичен ключ на сертификата, за да проверите подписа атестацияотговор Fraunhofer 20 App-Ray SafetyNet Server

SafetyNet: Подводни камъни Проверката на SafetyNet отговора в приложението е безсмислена Може да бъде премахната или презаписана За проверка в бекенда потребителят трябва да е онлайн. В противен случай? Например покритие на вътрешна мрежа

30% проверка на отговора на SafetyNet чрез API на Google е предназначена само за целите на разработката. Ограничена до 1000 заявки Проверката на отговора на SafetyNet във вашия собствен бекенд е сложна Какво означава "ctsprofile"? Кога печатът на времето все още е „актуален“? Fraunhofer 21 App-Ray

SafetyNet: Как всъщност работи (наистина сега) Play Store Hash 0x02349272348ab230ef 0x8ba89234c83f39d2e7 0xcab398efa93c23f87ba Валиден? Да да не 8: sha256 app backend 3: nonce? 4: nonce n 7: atestationresponse (n ') Правилна версия на Google Play Services? 5: атестат (api_key, n) 6: атестацияотговор (n ') SN App Hash DB 9: валиден 10: Резултат 2: apk разработчик 1: sha256 (apk) Проверка: Смартфон n = n'? отговор на атестация от Google? правилно ли е името на пакета на приложението? сертификатът за APK правилен? клеймо ново? basicintegrity = true? ctsprofilematch = вярно? Извличане на верига на SSL сертификат от атестацияотверете Проверете веригата на SSL сертификат Проверете дали SSL име на хост на лист сертификат = attest.android.com Използвайте публичен ключ на сертификата, за да проверите подписа атестацияотговор Fraunhofer 22 App-Ray SafetyNet Server

Какво носят защитните мерки? Обикновените скенери за вируси не решават проблем Google и Apple полагат усилия да направят платформите по-сигурни и да осигурят защитни мерки Разработчиците се насърчават да ги използват. Мерки като SafetyNet и ATS са добре обмислени, безплатни и предлагат защита. Но: Разработчиците са мързеливи, са подложени на време и натиск на разходите Защитните механизми не ви освобождават от каквато и да е работа, но генерират допълнителна податливост към грешки и увеличава потребителското изживяване Fraunhofer 23 App-Ray

Заключение Почти всички приложения имат пропуски в сигурността Писането на приложение е лесно, но писането на сигурно приложение е трудно и скъпо. Дори несигурното приложение може да застраши всички данни на телефона. Увреждащите приложения могат да дойдат и от надеждни източници и от известни компании "Ако нещо е безплатно, вие не сте клиентът, а продуктът "Fraunhofer 24 App-Ray

Заключение Какво мога да направя? Здрав разум Вземете преглед: Кои данни къде са? За какво се използват приложенията? Създайте концепция за сигурност Вземете информация за отделни приложения! Парола за технологично устройство, пълно дисково криптиране включва бели списъци. Не изтегляйте и инсталирайте всичко Отделете професионални данни от останалата част на системата (решения за контейнери) Fraunhofer 25 App-Ray