Your SlideShare is downloading. ×
Lo que las apps esconden
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Lo que las apps esconden

597
views

Published on

Charla: Lo que las Apps esconden, impartida por Simón Roses de Vulnex para el curso de Especialización en Dispositivos Móviles que tuvo lugar en la Facultad de Informática de la Universidad de A …

Charla: Lo que las Apps esconden, impartida por Simón Roses de Vulnex para el curso de Especialización en Dispositivos Móviles que tuvo lugar en la Facultad de Informática de la Universidad de A Coruña del 20 al 22 de Junio de 2012.

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
597
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
53
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Curso de Especialización en Dispositivos MóvilesA Coruña, 22 de junio de 2012
  • 2. SOBRE MIVULNEX: www.vulnex.comBlog: www.simonroses.comTwitter: @vulnexsl @simonroses
  • 3. OBJETIVOS DE LA CHARLA• Las Apps son la nueva Web• Visión general sobre la postura de seguridad de las Apps en los Markets• Se revelarán las vulnerabilidades pero no las víctimas
  • 4. DESCARGO DE RESPONSABILIDADESTodas las Apps se consideraránseguras hasta que se demuestresu culpabilidad mediante unarevisión de seguridad
  • 5. AGENDA1. TODO GIRA ALREDEDOR DE LAS APPS2. RIESGOS EN APPS3. CASOS DE ESTUDIO4. CONSEJOS DE DESARROLLO SEGURO5. CONCLUSIONES
  • 6. 1. POR QUÉ LAS APPS?• IDC predice que la venta de smartphones alcanzará los 982 millones de dispositivos en 2015• Morgan Stanley Research estima que la venta de smartphones superará a la de los PCs en 2012• La media de aplicaciones instaladas es de 65, pero el consumidor medio sólo utiliza unas 15 Apps habitualmente por semana• En 2011 se lanzó un promedio de 701 Apps en la versión británica de la App Store de Apple CADA DÍA!!• Una aplicación para casi todo…
  • 7. 1. CIFRAS DE INFARTO APPS BAJADAS • IPhone (Marzo 2012) 25 Billions == 25 mil millones • Android (Diciembre 2011) 10 Billions == 10 mil millones • WP7: ¿?
  • 8. 1. DESARROLLO DE APPS(1) Se puede incluir C en Java Apps / Apps de sistemas escritas en C(2) Por el momento sólo Microsoft pero próximamente abierto
  • 9. 1. TECNOLOGÍAS• Android -> Eclipse• iOS -> Xcode• Windows Phone -> Visual Studio• Multiplataforma -> – Comerciales • Xamarin - Mono Touch / Android • Corona SDK – Open Source • Phonegap
  • 10. 1. ANÁLISIS – XAMARIN MONO (ANDROID) I
  • 11. 1. ANÁLISIS – XAMARIN MONO (ANDROID) II
  • 12. 1. ANÁLISIS – XAMARIN MONO (ANDROID) III
  • 13. 1. ANÁLISIS – XAMARIN MONO (IOS) IV
  • 14. 1. ANÁLISIS – PHONEGAP (ANDROID) I
  • 15. 1. ANÁLISIS – PHONEGAP (ANDROID) II
  • 16. 1. ANÁLISIS – PHONEGAP (IOS) III
  • 17. 2. I+D SEGURIDAD APPS• REGLAS  Más de 5000 Apps de los Markets oficiales analizadas  Algunas App una hora de análisis o menos  Diferentes categorías analizadas: • Seguridad • Redes sociales • Comunicaciones • Servidores • Finanzas • Ocio • Productividad • Viajes • Juegos • Utilidades
  • 18. 2. USUARIOS DE APPS ANALIZADAS• Redes sociales +2 millones• Finanzas 500.000• Productividad 10 millones• Seguridad 5 millones• Medios 100.000• Viajes 5 millones
  • 19. 2. OWASP MOBILE PROJECT• OWASP inició en 2010 un proyecto de seguridad móvil• Objetivo: Proporcionar a desarrolladores y profesionales de seguridad recursos para asegurar aplicaciones móviles• Hitos: – OWASP Top 10 riesgos móviles – Guías de desarrollo y pruebas de seguridad – Proyecto OWASP GoatDroid
  • 20. 2. OWASP MOBILE TOP 10 RISKS
  • 21. 2. VULNEX - MAPA DE RIESGO EN APPS
  • 22. 1. ANÁLISIS IOS – FAIRPLAY & JAILBREAK I
  • 23. 1. ANÁLISIS IOS – FAIRPLAY & JAILBREAK II
  • 24. 1. ANÁLISIS IOS – FAIRPLAY & JAILBREAK III
  • 25. 3. CONTRASEÑAS EN TEXTO CLARO• La App no protege adecuadamente la información sensible, credenciales• OWASP Mobile: M1- Insecure Data Storage
  • 26. 3. EJEMPLO CONTRASEÑAS EN TEXTO CLARO: CREDENTIALS MANAGER (CVE-2011-1840)
  • 27. 3. MITIGAR CONTRASEÑAS EN TEXTO CLARO• Utilizar cifrado y seguridad de la plataforma (Información en reposo)• Establecer los permisos apropiados para los ficheros – MODE_WORLD_WRITEABLE – MODE_WORLD_READABLE• Evitar guardar datos en áreas de almacenamiento externo y público (principalmente tarjetas SD)
  • 28. 3. CANALES INSEGUROS• App envía datos a la red sin cifrar (HTTP vs. HTTPS) – Atentos a las credenciales – Información PII (chats, Facebook, etc.)• Cuando se utilizan canales codificados, realizar la validación del certificado• OWASP Mobile: M3- Insufficient Transport Layer Protection
  • 29. 3. EJEMPLO DE CANAL INSEGURO: RED SOCIAL
  • 30. 3. MITIGAR CANAL INSEGURO• Cifrar datos confidenciales saliendo del dispositivo (Proteger información en tránsito)• Se aplica a cualquier tipo de conexión
  • 31. 3. DEPURACIÓN HABILITADA• La App tiene la depuración o “logueo” habilitada• Ayuda a un atacante a aprender el funcionamiento de la App• OWASP Mobile: M8- Side Channel Data Leakage
  • 32. 3. EJEMPLO DEPURACIÓN HABILITADA: FINANZAS
  • 33. 3. EJEMPLO DEPURACIÓN HABILITADA: SERVIDOR
  • 34. 3. EJEMPLO DEPURACIÓN HABILITADA: FINANZAS
  • 35. 3. MITIGACIÓN DEPURACIÓN HABILITADA • Para depuración de código: – ¿Qué datos se guardan en logs? – ¿Dónde se guardan los datos? • Android: Eclipse deshabilita la depuración en la versión “release”
  • 36. 3. VALIDACIÓN DE DATOS• La App no realiza una validación de datos adecuada• Fuente de multitud de vulnerabilidades• OWASP Mobile: M4- Client Side Injection
  • 37. 3. EJEMPLO SQL DINÁMICO: FINANZAS
  • 38. 3. EJEMPLO CROSS SITE SCRIPTING (XSS): VIAJES
  • 39. 3. EJEMPLO CROSS SITE SCRIPTING (XSS), POR SI NO LO VISTE BIEN
  • 40. 3. EJEMPLO VALIDACIÓN DE DATOS: OCIO
  • 41. 3. MITIGAR VALIDACIÓN DE DATOS• Validar datos: – Válidos – Seguros – Longitud• Para consultas SQL usar sentencias preparadas• Validar y escapar los datos antes de mostrarlos para aplicaciones web• Utilizar lista blanca en vez de lista negra. Recomendadas las librerías OWASP ESAPI.
  • 42. 3. VIOLACIÓN PRIVACIDAD (PII)• La App recoge información PII – Usuario: nombre, contactos, bookmarks – Dispositivo: versión S.O., nombre, IMEI, IMSI, versión kernel, UUID – Info general: geo localización– OWASP Mobile Risk Classification: M8 – Side Channel Data Leakage
  • 43. 3. MITIGACIÓN VIOLACIÓN PRIVACIDAD• Las Apps no deben recoger todo lo que puedan, sólo lo que necesiten• Si necesita recoger PII: – ¿Dónde va esa información? • Ficheros logs • Base de datos • Red – Protégela: • En tránsito • En reposo
  • 44. 3. INTEGRACIÓN LIBRERÍAS DE TERCEROS• La App integra librerías de terceros: – Facebook – Greendroid – Android.ads – Apache – google.android.apps.analytics – Json – Mozilla – Javax – xmlrpc.android – slf4j
  • 45. 3. MITIGACIÓN INTEGRACIÓN LIBRERÍAS DE TERCEROS• Si utilizas librerías de terceros, usa librerías conocidas• ¿Qué información están recolectando estas librerías?• ¿Necesitamos realmente librerías de redes sociales integradas en nuestras aplicaciones de Finanzas?
  • 46. 3. PERMISOS• Es importante entender los permisos de aplicación• La App puede comprometer el bolsillo del usuario y la seguridad del dispositivo
  • 47. 3. EJEMPLO DE PERMISOS - SEXYPIC
  • 48. 3. EJEMPLO DE PERMISOS - DROIDDREAM
  • 49. 3. MITIGAR PERMISOS• Usuario: Aplicar sentido común• Desarrollador: No abusar de la solicitud de permisos (overprivileged)
  • 50. 3. CRYPTO DÉBIL• Uso incorrecto de librerías criptográficas• Desarrollar algoritmo de cifrado propio – “killer”• M9 - Broken Cryptography
  • 51. 3. EJEMPLO CRYPTO DÉBIL - SEGURIDADContraseña en código Cifrar contraseña con MD5 (sin salt) Hash almacenado en fichero texto con permisos world Fichero almacenado en la tarjeta SDhttp://www.md5-hash.com/
  • 52. 3. MITIGAR CRYPTO DÉBIL• Uso de librerías criptográficas conocidas y leer la documentación• Olvídate de cifrado propietario• Si utilizas SHA1 o MD5 para contraseñas aplica salt, mejor utilizar SHA-256• Si utilizas SHA1PRNG define la semilla
  • 53. 3. CREDENCIALES EN CÓDIGO• Las credenciales están integradas en el código• Fáciles de identificar para los atacantes• OWASP Mobile: M10- Sensitive Information Disclosure
  • 54. 3. EJEMPLO CREDENCIALES EN CÓDIGO: SERVIDOR
  • 55. 3. MITIGAR CREDENCIALES EN CÓDIGO• Fácil, no escribir las credenciales en archivos de código • ¿Qué sucede al cambiar las credenciales? Una nueva App al market!• Las credenciales deben utilizar almacenamientos de datos seguros
  • 56. 3. ANÁLISIS DE APP I - PROCESO
  • 57. 3. ANÁLISIS DE APP II - CÓDIGO
  • 58. 3. ANÁLISIS DE APP III - CONCLUSIÓN APP BANCO APP SOSPECHOSAVULNERABILIDADADES NO SÍ • Debug Habilitado • Contraseñas Texto Claro • Contraseñas en LogsOFUSCACIÓN SÍ NOINFORMACIÓN EN SÍ SÍTRÁNSITO PROTEGIDAINFORMACIÓN EN SÍ NOREPOSO PROTEGIDAMALICIOSA NO NOPRECIO GRATIS < 1 EUR
  • 59. 4. CONSEJO (I)• Todas las Apps necesitan un ciclo de desarrollo seguro• Realiza Modelos de Amenazas• Comprende los riesgos de la plataforma y la App• Revisiones de seguridad profesionales son caras pero pequeño ISV y desarrolladores pueden utilizar los recursos disponibles
  • 60. 4. CONSEJO (II)• Puedes añadir detección de jailbreak pero es una batalla perdida.  Android: • Comprobar si existe /system/app/Superuser.apk • Comprobar si existe el paquete com.noshufou.android.su • Podemos escribir directamente a /data/data  IPhone • Ejecuta fork() • Comprueba si existe /Applications/Cydia.app  WP7 • Permitido por Microsoft (DESCONTINUADO) http://labs.chevronwp7.com/• Ofuscación de código
  • 61. 4. RECURSOS DE SEGURIDAD • Iphone – https://developer.apple.com/library/mac/#documentation/securit y/Conceptual/SecureCodingGuide/Introduction.html • Android – http://developer.android.com/guide/topics/security/security.html – http://developer.android.com/search.html#q=security&t=5 • WP7 – http://msdn.microsoft.com/en-us/library/ff402533(VS.92).aspx • OWASP Mobile Security Project https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
  • 62. 5. RESUMEN• Las Apps son un negocio imparable• Las Apps son realmente interesantes para los atacantes, millones de posibles víctimas – Autores Malware• En las Apps analizadas hay algunas vulnerabilidades interesantes• Diferentes clases de vulnerabilidades, pero existen más de lo mostrado aquí
  • 63. 5. PRÓXIMOS PASOS• Automatizar el análisis de Apps – Análisis estático – Análisis dinámico• Estudio de las tecnologías multiplataforma y su repercusión en seguridad – Managed Apps (Mono) – ¿Son las vulnerabilidades multiplataforma?
  • 64. 5. PREGUNTAS ¡Gracias!

×