Android app-utvikling & dagens trusselbilde

Størrelse: px

Begynne med side:

Download "Android app-utvikling & dagens trusselbilde"

Merete Corneliussen
8 år siden
Visninger:

1 Android app-utvikling & dagens trusselbilde

2 Bio Thomas Methlie Bergen Medlem av VSC CISSP (Associate) sertifisering

3 Agenda

6 Baksiden av medaljen Overprivileged applications Information exposure through sent data Intent spoof ing Use of hardcoded chryptographic keys % of applicat ions Unaut horized intent receipt Insufficient entropy

Use of hardcoded chryptographic keys % of applicat ions

7 Arkitektur

8 Arkitektur Linux 2.6.x (Android 3.x), Linux 3.0.x (Android 4.0) Dalvik VM optimalisert for begrensete ressurser Sikkerhetsmodell: UID's, filrettigheter og tillatelser

9 Nøkkelkonsepter Activity Presenterer skjerminnhold Kan vise Views, menyer, varsler og notifikasjoner Må ha minst én Activity View Et enkelt grensesnitt element Håndterer brukerhendelser og tegner komponenten på skjermen Kan lage egne eller bruke eksisterende Intent Linker to aktiviteter eller to applikasjoner Muliggjør sending av meldinger og data mellom to entiteter Service En applikasjon som kan kjøre i bakgrunnen Deklareres i manifest filen Gir tilgang til OS tjenester som kamera, browser mm

eksisterende Intent Linker to aktiviteter eller to applikasjoner Muliggjør sending av meldinger og data mellom to entiteter

10 Nøkkelkonsepter 2 Broadcast receivers Lytter og reagerer på broadcast meldinger Content Providers Tilgjengeliggjør data fra en applikasjon til andre Android Manifest fil Henter data fra filsystem, SQLite, mm. <manifest...> <application> <activity android:name=.myactivity >...</activity> <receiver android:name=.myreceiver >...</receiver> </application> <uses-sdk android:minsdkversion= 16 /> <uses-feature android:name= android.hardware.camera /> <uses-permission android:name= android.permission.internet /> <uses-permission android:name= android.permission.camera /> <permission android:name= com.emc.newpermission /> </manifest>

myreceiver >...</receiver> </application> <uses-sdk android:minsdkversion= 16 /> <uses-feature android:name= android.hardware.

12 Intent spoofing Komponent med svake rettigheter Ondsinnet app sender en Intent som resulterer i datainjeksjon eller endret tilstand <receiver android:name= one.special.recevier > <intent-filter> <action android:name= one.intent.action /> </intent-filter </receiver>

tilstand <receiver android:name= one.special.

13 Eksempel Evil app Cool app Handles action: displayshop noshopslist Results UI Action: displayshop

14 Intent spoofing <receiver android:name= one.special.recevier android:exported=false> <intent-filter> <action android:name= one.intent.action /> </intent-filter> </receiver> <receiver android:name= one.special.recevier android:exported=true android:permission= one.permission > <intent-filter> <action android:name= one.intent.action /> </intent-filter> </receiver>

16 SQL og Query String Injection Delete, execsql, rawquery, update... Query String Injection: Sub-klasse av SQL Injection Tillater en ondsinnet app å se uautorisert data Kan ikke endre data Hvordan? Data fra en uklarert kilde Dynamisk konstruerte SQLite spørringer

en ondsinnet app å se uautorisert data Kan ikke endre data

17 Query String Injection Bruk parameteriserte spørringer!! query = userdb.query( MY_TABLE,MY_COLUMN, userid =?,{userid}, null,null,null,null)

19 Unauthorized Intent Receipt Gitt en offentlig Intent som ikke krever spesielle tillatelser hos komponenten som mottar meldingen Fanges opp av en ondsinnet app Kan lekke sensitive data og/eller endre programflyt Intent intent = new Intent(); intent.setaction( a.special.action ); startactivity(intent);

ondsinnet app Kan lekke sensitive data og/eller endre programflyt Intent

20 Unauthorized Intent Receipt Intent fixedintent = new Intent(); fixedintent.setclassname( pkg.name, pkg.name.destinationname ); or Intent fixedintent2 = new Intent(); fixedintent2.setaction( a.special.action ); sendbroadcast( fixedintent2, a.special.permission );

22 Persistent Messages: Sticky broadcasts Kan ikke sette krav til tillatelser på mottaker Tilgjengelig for alle(!) Kompromittere sensitiv program data Lever videre etter at den har blitt sent Kan fjernes av alle som har BROADCAST_STICKY tillatelse

23 Persistent Messages: Sticky broadcasts Bruk vanlige kringkasting som er beskyttet av mottakers tillatelser Undersøk data som blir sent i kringkastings meldinger

25 Insecure Storage Innhold på SD-kort er tilgjengelig for alle Blir ikke fjernet når app'en blir fjernet Kan gi tilgang til passord, lokasjoner, SMS, epost, etc

26 Insecure Storage Bruk applikasjonens SQLite database Bruk enhetens interne datalager Bruk Context.MODE_PRIVATE

28 Insecure Communication Ikke send sensitiv data over HTTP Om mulig, bruk HTTPS, hvis du bruker WebViews Bør undersøkes og behandles som hvilken som helst web applikasjon

29 Insecure Communication Google Calendar og Contacts (fikset i v2.3.4) Twitter app Facebook app Fake GSM tower, IMSI Catcher

31 Overprivileged Applications Minst privilegium prinsippet Sårbarheter kan gi en angriper tilgang Application Collusion Attack Brukere godtar unødvendige tillatelser

32 Trusselbilde Mobile is the new platform. Mobile is a very intimate platform. It's where the attackers are going to go." [Schneier] Bilde:

33 Trusselbilde Q1: 3, 063 Q2: 5, 033 Q3: 51, 447 Kun 0,5 fra Play Store. 55,2 prosent faktisk ondsinnet!

34 Trusselbilde Bilde: F-Secure, Mobile Threat Report

35 Trusselbilde Samle personlig informasjon Kontakter, SMS, e-post, bilder, filer, GPS lokasjon Pakkesniffing Overvåking Reklame Installere/kjøpe andre applikasjoner Premium SMS tjenester

36 Hva skjer fremover? Android v4.2 (Opt-in) Skanning av applikasjoner i sanntid Valideres mot eksisterende Google Play app's og APK-filer tilgjengelig på nettet Ny installasjons-skjerm med tydeligere informasjon

37 SE Linux Mandatory Access Control vs Discretionary Access Control Ingen root bruker Sikkerhets policy definert av en administrator Bilde: Centos.org

38 VPN Always-On VPN Hindrer data fra plutselig å bli sent i klartekst Bilde: How Stuff Works

39 Premium SMS Premium SMS tjenester belaster brukerens mobilabonnement Varsling ved bruk av premium tjenester Bilde:

40 Pro tips! Google Play Rating og tilbakemeldinger Kontroller tillatelser Rooting

41 Takk for meg! / no.linkedin.com/in/thomasmethlie tsmethlie

42 Kilder Seven ways to hang yourself with Google Android. Y. O'Neil and E. Chin Veracode State of Software Security v Developing secure mobile applications for android. Jesse Burns, isec Partners F-Secure: Mobile Threat Report Q Application Collusion Attack on the Permission-Based Security Model and its Implications for Modern Smartphone Systems (ftp://ftp.inf.ethz.ch/doc/tech-reports/7xx/724.pdf)

Like dokumenter

Sikkerhet og tilgangskontroll i RDBMS-er

Sikkerhet og tilgangskontroll i RDBMS-er IN2090 14. nov 2018 Mathias Stang 1 Agenda Modeller for tilgangskontroll Brukere og roller i RDBMS-er GRANT og REVOKE SQL Injections 2 Hovedmål med databasesikkerhet