InfoSecurityRussia-_2014_Conferences.pdf
0 likes6 views
Документ обсуждает безопасность мобильных приложений, подчеркивая специфику нападений и защитных мер, включая криптографическую защиту и управление данными. Рассматриваются проблемы безопасности, связанные с кросс-платформенными приложениями, а также вопросы доверия в системе хранения и обработки данных. Кроме того, обсуждаются примеры API для регистрации и авторизации приложений.
InfoSecurityRussia-_2014_Conferences.pdf
- 1. Безопасность мобильных приложений: специфика нападения и защиты Чемёркин Юрий ЗАО «Перспективный мониторинг»
- 2. Основы доверия • Безопасная платформа • Безопасный софт • Безопасность данных • Безопасные инструменты управления платформой 2
- 4. Проблемы безопасности обработки данных • Защита кода • Защита передаваемых данных • Защита хранимых локально данных • Криптографическая защита 4
- 5. Dropbox <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <data> YnBsaXN0MDDUAQIDBAUIYWJUJHRvcFgkb2JqZWN0c1gk dmVyc2lvblkkYXJjaGl2ZXLRBgdUcm9v dIABrQkKNztCRUlPUlVYW1xVJG51bGzfEBYLDA0ODxARE hMUFRYXGBkaGxwdHh8gISIjJCUkJCgp……… 5
- 6. App in the Air <array> <string>user_education_history</string> <string>basic_info</string> <string>user_work_history</string> <string>installed</string> <string>user_location</string> <string>user_friends</string> <string>user_about_me</string> <string>public_profile</string> <string>email</string> <string>user_birthday</string> </array> <key>aita_achievement_aircrafts5</key><true/> <key>aita_achievement_airports5</key><true/> <key>aita_achievement_country_russia</key><true/> <key>aita_achievement_country_usa</key><true/> <key>aita_achievement_earlybird</key><true/> <key>aita_achievement_newbie</key><true/> <key>aita_achievement_premium</key><true/> <key>facebook_email</key> <string>[email protected]</string> <key>facebook_nick</key> <string>Yury Chemerkin</string> <key>facebook_username</key> <string>100001827345335</string> <key>first_session</key> <string>Researcher at Перспективный Мониторинг</string> 6
- 7. App in the Air <key>com.crashlytics.insights.lastmaintenancedate</key> <date>2014-09-20T08:48:45Z</date> <key>com.crashlytics.insights.lastsessionidentifier</key> <string>541D3EEF038E-0001-01BA- 666463653832</string> <key>com.crashlytics.insights.lastsessionmetadata</key> <data> eyJqYWlsYnJva2VuIjpmYWxzZSwidmVuZG9yX2lkIjoiNjM2Q0RENTAtMjI4Ri 00QTlCLTk1MTYtQjY0Qzc1MEZFQzYwIiwiaW5zdGFsbF9pZCI6IjMyNjFGNTF BLURDN0YtNEM3MS1CMTRBLUQzOTE4ODcxMUFBOSIsIm9zX21pbiI6MCw icGxhdGZvcm1fY29kZSI6MSwiYnVuZGxlX3ZlcnNpb24iOiI0LjAuMS41Iiwic3R hcnRlZF9hdCI6MTQxMTIwMjc5OSwibG9jYWxlIjoiZW5fVVMiLCJjb21waWxl ciI6InVua25vd24iLCJidW5kbGVfaWQiOiJjb20uYWl0YS5hcHAiLCJtYWNoaW 5lIjoiTjQ5QVAiLCJvc192ZXJzaW9uIjoiOC4wIiwibW9kZWwiOiJpUGhvbmU1L DQiLCJvc19idWlsZCI6IjEyQTM2NSIsIm9zX21heCI6MCwiYnVuZGxlX3Nob3J 0X3ZlcnNpb24iOiI0LjAuMSIsImFwaV9rZXkiOiJmZGM3YzFhNDhiNWJmOGI3 ZDcxNjg4Y2ZkOTg2ZGQ3ZTg4YjJlMTBjIiwiY29yZXMiOjIsImdlbmVyYXRvciI6I kNyYXNobHl0aWNzIGlPUyBTREtcLzIuMi40Iiwic2Vzc2lvbl9pZCI6IjU0MUQz RUVGMDM4RS0wMDAxLTAxQkEtNjY2NDYzNjUzODMyIiwicGxhdGZvcm0iO iJpT1MiLCJhcmMiOmZhbHNlLCJjb25maWciOiJ1bmtub3duIiwiZGVidWciO mZhbHNlfQ== </data> {"jailbroken":false,"vendor_id":"636CDD5 0-228F-4A9B-9516- B64C750FEC60","install_id":"3261F51A- DC7F-4C71-B14A- D39188711AA9","os_min":0,"platform_c ode":1,"bundle_version":"4.0.1.5","starte d_at":1411202799,"locale":"en_US","co mpiler":"unknown","bundle_id":"com.ait a.app","machine":"N49AP","os_version": "8.0","model":"iPhone5,4","os_build":"12 A365","os_max":0,"bundle_short_version ":"4.0.1","api_key":"fdc7c1a48b5bf8b7d7 1688cfd986dd7e88b2e10c","cores":2,"ge nerator":"Crashlytics iOS SDK/2.2.4","session_id":"541D3EEF038E -0001-01BA- 666463653832","platform":"iOS","arc":fal se,"config":"unknown","debug":false} 7
- 8. Особенности платформо-зависимого ПО • Безопасность хранимых данных в keychain • Безопасность данных приложений • Доверие к системным механизмам данных • Доверие к PC/Mac-устройству, где установлен iTunes 8
- 10. Особенности платформо-зависимого ПО • Системное защищённое хранилище? N/A • Проблема хранения данных • Недоверенная среда • Доступ к данным приложений с PC 10
- 11. Aeroexpress /data/data/ru.lynx.aero/shared_prefs/activities.main.MainActivity.xml <?xml version='1.0' encoding='utf-8' standalone='yes' ?> <map> <string name="phone">9xxxxxxxx2</string> <long name="cardExpiryDate" value="1472723015507" /> <long name="scheduleChangesDate" value="1411638096257" /> <long name="scheduleLastUpdateDate" value="1411638096692" /> <string name="password">XXXXXXX</string> <string name="cardHolder">Yury Chemerkin</string> <string name="email">[email protected]</string> <string name="userId">7-7011656</string> <string name="layout">phone</string> <string name="login">xxxxxxxxxxxxxx</string> <string name="language">ru</string> <string name="deviceId">bEBDPM1dCdDAPA9……K7iF9_lnAFKLgEE7VHdDCXbyww</string> <string name="cardNumber">1234567890123456</string> </map> 11
- 12. Особенности платформо-зависимого ПО • WinRT-приложения популярны больше, чем сама платформа • jailbreak/root ? • Windows 8 Pro + WinRT для исследования кода • Windows 8 Pro и доступ к данным 12
- 13. Viber (WinRT) / Viber (PC) 13
- 14. Проблемы криптомеханизмов мобильного ПО • Пароли • Защита vs. Шифрование • Криптография • Хеширование • Артефакты • Секретная часть ключа 14
- 15. Проблемы сетевого взаимодействия • Отсутствие защиты • MITM • Self-signed сертификаты • Неправильное управление ключами • Известные технологии защиты данных 15
- 16. MITM 16
- 17. Sberbank Регистрация приложения (запрос) operation=register&appVersion=5.1.2%20%28142%29&logi n=4xxx1xxxx5&devID=xxxxxxxx-2xxF-xxxxx-xxxxx- xxxxxxxx6&deviceName=iPhone5%2C4&version=7.00&app Type=iPhone Регистрация приложения (ответ) <response> <loginCompleted>false</loginCompleted> <confirmRegistrationStage> <mGUID>xxxxxxx758xxxxxxx53b4exxxxx</mGUID> </confirmRegistrationStage> <confirmInfo> <type>smsp</type> <smsp> <lifeTime>597</lifeTime> <attemptsRemain>3</attemptsRemain> </smsp> </confirmInfo> <registrationParameters> <minimumPINLength>5</minimumPINLength> </registrationParameters> </response> Проверка пароля из смс (запрос) appType=iPhone&operation=confirm&smsPassw ord=60206&mGUID= xxxxxxx758xxxxxxx53b4exxxxx&version=7.00 Проверка пароля из смс (ответ) <response> <status> <code>0</code> </status> <loginCompleted>false</loginCompleted> </response> Установка пин-кода (запрос) operation=createPIN&appVersion=5.1.2%20%28 142%29&password=47098&isLightScheme=false &devID=xxxxxxxx-2xxF-xxxxx-xxxxx- xxxxxxxx6&deviceName=iPhone5%2C4&version= 7.00&appType=iPhone&mGUID= xxxxxxx758xxxxxxx53b4exxxxx Проверка пин-кода operation=check&password=44444 17
- 18. Yandex.Disk Регистрация приложения (запрос) client_id=6cxxxxxxxxxxxxxxxxxxxxxx16&client_secret=8xxxx xxxxxxxxxxx0&grant_type=password&password=R%40mf0r D%23&username=xxxxxxxxxxxxxxxx%40yandex.ru Регистрация приложения (ответ) {"token_type": "bearer", "access_token": "5xxxxxxxxxxxxxxxxxxxae", "expires_in": 31536000, "uid": 1xxxxxxxxxxxx24} Авторизация (запрос) access_token=5xxxxxxxxxxxxxxxxxxxxxxe&client_ id=f6xxxxxxxxxxxxxxxxxxxxxxxxx65&client_secret =2xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxe&g rant_type=x-token Проверка пароля из смс (ответ) {"token_type": "bearer", "access_token": "41xxxxxxxxxxxxxxxxb", "expires_in": 31536000, "uid": 1xxxxxxxxxxx24} 18
- 19. • Поставщик платформы – Статический анализ? – Оперативность работы по отзывам и жалобам? – Контроль источника APK, IPA, etc? • Автор приложения – Безопасная разработка? – Безопасность аккаунта и инфраструктуры разработки? – Воровство/взлом приложения? • Внешний арбитр – Необходимость верификации ПО – Актуализация угроз данных – Итеративный процесс работ Рекомендации 19