Your SlideShare is downloading. ×
0
行動裝置安全
戴夫寇爾股份有限公司
翁浩正 (Allen Own)
Who Am I
翁浩正 (Allen Own)
allenown@devco.re
DEVCORE 戴夫寇爾 執行長
!
HITCON 台灣駭客年會副總召
CHROOT 成員
NISRA 資安團隊創辦人
資安技能金盾獎競賽100年冠軍
進行政府單位、企業等滲透測試專案
任企業、學術及政府單位講師及顧問
!
資訊安全系統研究及開發
網路安全規劃建置
駭客攻擊手法、駭客追蹤
攻擊程式、後門程式開發與研究
!
EC-Council
Certified Ethical Hacker 講...
4
什麼是行動裝置?
行動裝置的發展
http://www.flickr.com/photos/seychelles88/361496560/
Feature Phone 

功能型電話
僅有電話功能及簡
單個人記事功能
Personal Digital
Assistant (PDA)

個人行事助理
主重個人資訊管理
基本多媒體及網路
功能
Smartphone

智慧型手機
整合手機與 PDA
強化應用程式、多
媒體、網路功能
智慧型手機的成長
•智慧型手機是目前手機的趨勢
•行動運算的新時代帶來更多應用
•結合雲端運算給予手機更大的附加價值
•3G 網路技術發達使手機生態改變
智慧型手機的規格
•硬體
•CPU:2GHz、四核心
•GPU:PowerVR /
Adreno
•記憶體:1GB ~ 3GB
•網路
•3G、HSDPA
•WiMax、LTE
•Bluetooth、Wi-Fi
•IR、NFC 感應卡!
•敏感...
智慧型手機的規格
•硬體
•CPU:2GHz、四核心
•GPU:PowerVR /
Adreno
•記憶體:1GB ~ 3GB
•網路
•3G、HSDPA
•WiMax、LTE
•Bluetooth、Wi-Fi
•IR、NFC 感應卡!
•敏感...
智慧型手機作業系統
智慧型手機作業系統
•Apple iOS
•Google Android
•Windows Phone
iPhone
• 2007 年 Apple 發展智慧
型手機的新時代
!
• 流暢的使用者使用體驗
• 著重多媒體與系統整合
• 結合網路應用
Apple App Store
Apple App Store
•App Store 提供各式各樣軟體下載
•導入軟體市場購買機制,使用者選購付費
•軟體數量突破 90 萬大關,累計下載次數
50,000,000,000
Android
Android
•Google 發展的手機作業系統
•2007 年開始發展,2008 年發表 G1 手機
•2011 年成為全球第一大手機作業系統
!
•與 Google 服務整合度高
•作業系統較為開放
27
Google Play
Google Play
•Google 提供 Market 供使用者下載、購買應用程
式。後稱 Google Play。
•台灣 2010 年開放購買軟體
•軟體數量突破 100 萬個 (2013 年 7 月),累積下
載量 50,000,00...
軟體權限
• 每個程式都有權限控管
• 使用者必須仔細閱讀權限,
以防遭惡意軟體利用
Windows Phone
Windows Phone 8
•WP8 為微軟發展的全新手機平台
•大量改善舊有 Windows Mobile 系統缺失
•整合 Xbox 以及 Live 服務
Windows Phone Store
Windows Phone Store
•提供各種應用程式下載
•開發者使用 XAML、C#、VB.NET
!
•軟體數量突破 20 萬個
市場消息
•Android 超越 RIM 成為美國第一大行動平台

•http://www.comscore.com/Press_Events/
Press_Releases/2011/4/
comScore_Reports_February_...
平板系統
平板系統
•Apple iPad
•Google Android
•Microsoft Windows
平板系統
•運算速度更快
•更大尺寸的螢幕
•更強的電力
•給予更多樣化的應用
Apple iPad
Android
Windows
平板系統應用
•個人資訊管理
•電子書
•網路瀏覽
•多媒體應用
•遊戲
個人手機應用
個人手機應用
•Personal Information Management (PIM)
•個人資訊管理
•行事曆
•通訊錄
•代辦事項
•備忘錄
http://www.flickr.com/photos/vsy/4996102088/
http://www.flickr.com/photos/marypcb/4930362870/
http://www.flickr.com/photos/purpleslog/183842413/
http://www.flickr.com/photos/dedi/3388471972/
http://www.flickr.com/photos/helenzhang/4814946755/
個人手機應用
•個人財務管理
•多媒體及娛樂
•行動網路
https://www.mint.com/
實際案例
•馬來西亞2012年將推手機報稅:

DIGICERT有限公司首席執行員拿督諾阿斯里披露,由
明年起,該公司將會推介智慧型手機電子報稅系統,
為納稅人提供更便捷的報稅服務。他表示,這項新繳
稅系統,目前需要6個月的時間試跑,因為需要確...
企業手機應用
組織運用
•專案管理
•業務管理
•人事差勤
•表單簽核
專案管理
•傳統:
•人員必須要現場討論
•無法有效有組織性的討論及記錄
!
•現代:
•網路直接同步所有資料
•所有更新即時記錄
•自動提醒時程及備忘
http://www.flickr.com/photos/monacho/3420112384
https://basecamp.com/mobile
實際案例
•長春石化採用 iPhone 作為企業內部應用系統的行
動手持裝置
•企業內部的 VoIP 電話
•和桌上分機電話同步共振
•批審電子表單
•電子郵件收發
行動裝置真的安全嗎
行動裝置真的安全嗎
•行動惡意程式 App 數量,正式突破 200 萬! 半
年內數字翻倍,成長速度驚人
» http://iservice.libertytimes.com.tw/3c/news.php?no=12190&type=5
» 這...
行動裝置真的安全嗎
•行動上網人口已逾 4 成 資安因素阻礙網路購物、
網路金融
» http://www.informationsecurity.com.tw/article/article_detail.aspx?
tv=71&aid=76...
手機出廠內建惡意程式
•在Samsung、Motorola、LG、ASUS 等廠牌的新出
場手機之中,找到偽造成 Netflix 的惡意程式,傳
送密碼及信用卡號至俄羅斯。
• http://www.computerworld.com/s/ar...
2013 年 19.04% Android
惡意程式竊取個人資料
http://blog.trendmicro.com/trendlabs-security-intelligence/looking-forward-into-2014-what...
90% 的 Apple iOS 行動應
用程式有安全漏洞
•惠普(HP)今天表示,在針對超過2,000件專為商務
應用而開發,且被50國約600家大型企業所使用
之iOS行動應用程式的安全測試中發現,有9/10的
應用程式存在重大安全漏洞。
h...
90% 的 Apple iOS 行動應
用程式有安全漏洞
•HP指出這些應用程式中,有97%的軟體會存取裝
置中的私人資訊來源,同時有86%的比例,證實
有招致資料隱碼(SQL Injection)等攻擊風險的安全
漏洞。
•在該測試總結中,H...
資安與個資議題
•惡意程式攻擊
•個資外洩
•手機遺失
•手機使用不當
•企業環境中面臨的風險
智慧型手機的規格
•硬體
•CPU:2GHz、四核心
•GPU:PowerVR /
Adreno
•記憶體:1GB ~ 3GB
•網路
•3G、HSDPA
•WiMax、LTE
•Bluetooth、Wi-Fi
•IR、NFC 感應卡!
•敏感...
強大功能的危機?
•持續連線的網路 -> 方便攻擊者隨時控制
•攝影鏡頭 -> 隨時錄影及拍照
•錄音程式 -> 隨時錄音
•GPS 定位 -> 回報位置
•帳號密碼 -> 竊取帳號密碼
•通訊錄及簡訊 -> 竊取個資並進行社交工程
惡意程式
•竊取機敏資料
•帳號密碼
•通訊錄
•簡訊
•記憶卡中的資料
•信用卡等財務資料
•公司業務資料
惡意程式
•攻擊作業系統
•使用現有的系統漏洞或未知的 0-Day 攻擊
•取得最高系統權限
•放置後門及竊取資料
•甚至將手機建置成 Botnet 的一員
惡意程式
•盜打電話及簡訊
•惡意的撥打電話及發送簡訊
•發送付費簡訊
•增加受害者花費
手機遺失
•手機等同電腦,在手機上使用越多服務,更要注
意手機遺失的風險
•手機若無上鎖加密,遺失手機等於將個人機敏資
料雙手奉上
•安裝尋找手機、遠端消除手機資料之軟體
企業環境中面臨的風險
•3G 網路分享,導致內網外網混接
•造成公司內部資訊外洩
!
•惡意程式造成手機內的簡訊、信件、帳號密碼、
信用卡資訊、機敏資料等個資外洩,間接造成企
業風險
應對方案
•更新手機的作業系統
•可無線上網之智慧型手機進行列管
•手機等同電腦,資安概念也必須對應到手機上
•建立遺失手機的對應方案
行動裝置攻擊手法剖析
Android Architecture
Android Architecture
Kernel 層級漏洞
•CVE-2012-0056 gain privileges by
modify process memory (/proc/pid/mem)
•CVE-2013-2094 gain privileges via a
c...
Android Architecture
[WebKit] Use-After-Free Remote Code Execution
ref: http://packetstormsecurity.com/files/cve/CVE-2010-1807
Android Architecture
Android Master Key Debacle
ref: http://nakedsecurity.sophos.com/2013/07/10/anatomy-of-a-security-hole-googles-android-mast...
802.1X Password Exploit
ref: http://blog.mywarwithentropy.com/2012/02/8021x-password-exploit-on-many-htc.html
Android Architecture
ADB-Savvy Thieves
Android Architecture
Insecure Data Storage
•手機 App 在存放資料時,沒有設定好完整安全的權限。可
能導致惡意程式竊取 App 的資料,例如帳號、密碼、對話
記錄、簡訊等機敏資料。
•存放方式如
» Shared Preferences
»...
Skype
ref: http://www.androidpolice.com/2011/04/14/exclusive-vulnerability-in-skype-
for-android-is-exposing-your-name-pho...
# ls -l /data/data/com.skype.merlin_mecha/files/shared.xml 

-rw-rw-rw- app_152 app_152 56136 2011-04-13 00:07 shared.xml
...
Client Side Injection
•經由手機端利用 App 來竄改、惡意利用使用者的
資料,或者是經由 App 攻擊手機本身取得權限。
Demo
•利用手機惡意程式盜取使用者 Facebook 帳號,讀
取帳號中的照片。
應用程式安全開發指引
如何確保應用程式安全
•主管機關如何把關程式安全?
» 清楚定義產品規格、安全規格
» 要求實作單位進行滲透測試,並明定測試項目、
方式、結果,必要求修復後複測。
» 應用程式連接之伺服器須架構明確並進行保
護。
» 使用 SDLC 開發流程
Security Development Life Cycle
(SDLC)
•訓練、需求、設計、實作、驗證、發行、回應
如何確保應用程式安全
» 尋找可靠的第三方安全顧問公司進行測試
•黑箱測試(Black-Box Test)
» 模擬駭客的角度,測試應用程式的安全風險。
如進行滲透測試。
•白箱測試(White-Box Test)
» 針對原始碼進行原碼檢測(...
如何確保應用程式安全
•知道風險的所在
» 應用程式(App)隨時與伺服器連接,伺服器
的安全會是一大重點。除了應用程式安全之
外,更要加強伺服器安全。
» 與應用程式連接之伺服器進行隔離及管控。
» SQL Injection 等風險為個資外...
Android 防護
Q & A
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
Upcoming SlideShare
Loading in...5
×

20140610 net tuesday - 行動裝置安全

1,541

Published on

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,541
On Slideshare
0
From Embeds
0
Number of Embeds
15
Actions
Shares
0
Downloads
17
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "20140610 net tuesday - 行動裝置安全"

  1. 1. 行動裝置安全 戴夫寇爾股份有限公司 翁浩正 (Allen Own)
  2. 2. Who Am I 翁浩正 (Allen Own) allenown@devco.re DEVCORE 戴夫寇爾 執行長 ! HITCON 台灣駭客年會副總召 CHROOT 成員 NISRA 資安團隊創辦人 資安技能金盾獎競賽100年冠軍
  3. 3. 進行政府單位、企業等滲透測試專案 任企業、學術及政府單位講師及顧問 ! 資訊安全系統研究及開發 網路安全規劃建置 駭客攻擊手法、駭客追蹤 攻擊程式、後門程式開發與研究 ! EC-Council Certified Ethical Hacker 講師 Computer Hacking Forensic Investigator
  4. 4. 4
  5. 5. 什麼是行動裝置?
  6. 6. 行動裝置的發展
  7. 7. http://www.flickr.com/photos/seychelles88/361496560/
  8. 8. Feature Phone 
 功能型電話 僅有電話功能及簡 單個人記事功能
  9. 9. Personal Digital Assistant (PDA)
 個人行事助理 主重個人資訊管理 基本多媒體及網路 功能
  10. 10. Smartphone
 智慧型手機 整合手機與 PDA 強化應用程式、多 媒體、網路功能
  11. 11. 智慧型手機的成長 •智慧型手機是目前手機的趨勢 •行動運算的新時代帶來更多應用 •結合雲端運算給予手機更大的附加價值 •3G 網路技術發達使手機生態改變
  12. 12. 智慧型手機的規格 •硬體 •CPU:2GHz、四核心 •GPU:PowerVR / Adreno •記憶體:1GB ~ 3GB •網路 •3G、HSDPA •WiMax、LTE •Bluetooth、Wi-Fi •IR、NFC 感應卡! •敏感資料 –通話記錄 –簡訊、郵件、即時通訊 –聯絡人、社群網路 –照相機、錄音 –GPS 定位
  13. 13. 智慧型手機的規格 •硬體 •CPU:2GHz、四核心 •GPU:PowerVR / Adreno •記憶體:1GB ~ 3GB •網路 •3G、HSDPA •WiMax、LTE •Bluetooth、Wi-Fi •IR、NFC 感應卡! •敏感資料 –通話記錄 –簡訊、郵件、即時通訊 –聯絡人、社群網路 –照相機、錄音 –GPS 定位 等同⼀一台隨⾝身⼩小型電腦!
  14. 14. 智慧型手機作業系統
  15. 15. 智慧型手機作業系統 •Apple iOS •Google Android •Windows Phone
  16. 16. iPhone • 2007 年 Apple 發展智慧 型手機的新時代 ! • 流暢的使用者使用體驗 • 著重多媒體與系統整合 • 結合網路應用
  17. 17. Apple App Store
  18. 18. Apple App Store •App Store 提供各式各樣軟體下載 •導入軟體市場購買機制,使用者選購付費 •軟體數量突破 90 萬大關,累計下載次數 50,000,000,000
  19. 19. Android
  20. 20. Android •Google 發展的手機作業系統 •2007 年開始發展,2008 年發表 G1 手機 •2011 年成為全球第一大手機作業系統 ! •與 Google 服務整合度高 •作業系統較為開放
  21. 21. 27
  22. 22. Google Play
  23. 23. Google Play •Google 提供 Market 供使用者下載、購買應用程 式。後稱 Google Play。 •台灣 2010 年開放購買軟體 •軟體數量突破 100 萬個 (2013 年 7 月),累積下 載量 50,000,000,000
  24. 24. 軟體權限 • 每個程式都有權限控管 • 使用者必須仔細閱讀權限, 以防遭惡意軟體利用
  25. 25. Windows Phone
  26. 26. Windows Phone 8 •WP8 為微軟發展的全新手機平台 •大量改善舊有 Windows Mobile 系統缺失 •整合 Xbox 以及 Live 服務
  27. 27. Windows Phone Store
  28. 28. Windows Phone Store •提供各種應用程式下載 •開發者使用 XAML、C#、VB.NET ! •軟體數量突破 20 萬個
  29. 29. 市場消息 •Android 超越 RIM 成為美國第一大行動平台
 •http://www.comscore.com/Press_Events/ Press_Releases/2011/4/ comScore_Reports_February_2011_U.S._Mobile_Sub scriber_Market_Share/(language)/eng-US
  30. 30. 平板系統
  31. 31. 平板系統 •Apple iPad •Google Android •Microsoft Windows
  32. 32. 平板系統 •運算速度更快 •更大尺寸的螢幕 •更強的電力 •給予更多樣化的應用
  33. 33. Apple iPad
  34. 34. Android
  35. 35. Windows
  36. 36. 平板系統應用 •個人資訊管理 •電子書 •網路瀏覽 •多媒體應用 •遊戲
  37. 37. 個人手機應用
  38. 38. 個人手機應用 •Personal Information Management (PIM) •個人資訊管理 •行事曆 •通訊錄 •代辦事項 •備忘錄
  39. 39. http://www.flickr.com/photos/vsy/4996102088/
  40. 40. http://www.flickr.com/photos/marypcb/4930362870/
  41. 41. http://www.flickr.com/photos/purpleslog/183842413/
  42. 42. http://www.flickr.com/photos/dedi/3388471972/
  43. 43. http://www.flickr.com/photos/helenzhang/4814946755/
  44. 44. 個人手機應用 •個人財務管理 •多媒體及娛樂 •行動網路
  45. 45. https://www.mint.com/
  46. 46. 實際案例 •馬來西亞2012年將推手機報稅:
 DIGICERT有限公司首席執行員拿督諾阿斯里披露,由 明年起,該公司將會推介智慧型手機電子報稅系統, 為納稅人提供更便捷的報稅服務。他表示,這項新繳 稅系統,目前需要6個月的時間試跑,因為需要確定 採用甚麼手機,以及有關手機,是否能存放報稅電子 文件。 • http://www.ithome.com.tw/itadm/article.php?c=66928 • http://www.btimes.com.my/Current_News/BTIMES/articles/digicert/Article/
  47. 47. 企業手機應用
  48. 48. 組織運用 •專案管理 •業務管理 •人事差勤 •表單簽核
  49. 49. 專案管理 •傳統: •人員必須要現場討論 •無法有效有組織性的討論及記錄 ! •現代: •網路直接同步所有資料 •所有更新即時記錄 •自動提醒時程及備忘
  50. 50. http://www.flickr.com/photos/monacho/3420112384
  51. 51. https://basecamp.com/mobile
  52. 52. 實際案例 •長春石化採用 iPhone 作為企業內部應用系統的行 動手持裝置 •企業內部的 VoIP 電話 •和桌上分機電話同步共振 •批審電子表單 •電子郵件收發
  53. 53. 行動裝置真的安全嗎
  54. 54. 行動裝置真的安全嗎 •行動惡意程式 App 數量,正式突破 200 萬! 半 年內數字翻倍,成長速度驚人 » http://iservice.libertytimes.com.tw/3c/news.php?no=12190&type=5 » 這是假的!廣告訊息告知手機用戶已中毒 催促下 載防毒 App  » http://news.networkmagazine.com.tw/classification/security/ 2013/12/26/62134/ » PChome 相簿上鎖無用 手機瀏覽看光光 » http://www.appledaily.com.tw/realtimenews/article/new/ 20140210/341223/
  55. 55. 行動裝置真的安全嗎 •行動上網人口已逾 4 成 資安因素阻礙網路購物、 網路金融 » http://www.informationsecurity.com.tw/article/article_detail.aspx? tv=71&aid=7649 •台行動上網遭駭 恐列全球前 5 » http://udn.com/NEWS/BREAKINGNEWS/ BREAKINGNEWS6/8528942.shtmL » HP:90% 的 Apple iOS 行動應用程式有安全漏洞 » http://news.networkmagazine.com.tw/classification/security/ 2013/11/19/60303/
  56. 56. 手機出廠內建惡意程式 •在Samsung、Motorola、LG、ASUS 等廠牌的新出 場手機之中,找到偽造成 Netflix 的惡意程式,傳 送密碼及信用卡號至俄羅斯。 • http://www.computerworld.com/s/article/9246764/ Pre_installed_malware_found_on_new_Android_phones
  57. 57. 2013 年 19.04% Android 惡意程式竊取個人資料 http://blog.trendmicro.com/trendlabs-security-intelligence/looking-forward-into-2014-what-2013s-mobile-threats-mean-moving-forward/
  58. 58. 90% 的 Apple iOS 行動應 用程式有安全漏洞 •惠普(HP)今天表示,在針對超過2,000件專為商務 應用而開發,且被50國約600家大型企業所使用 之iOS行動應用程式的安全測試中發現,有9/10的 應用程式存在重大安全漏洞。 http://news.networkmagazine.com.tw/classification/security/2013/11/19/60303/
  59. 59. 90% 的 Apple iOS 行動應 用程式有安全漏洞 •HP指出這些應用程式中,有97%的軟體會存取裝 置中的私人資訊來源,同時有86%的比例,證實 有招致資料隱碼(SQL Injection)等攻擊風險的安全 漏洞。 •在該測試總結中,HP指出,86%的受測應用程式, 缺乏保護自己免受諸如加密資料的誤用、跨站腳 本攻擊(Cross-Site Scripting, XSS)及不安全的資料 傳輸等常見漏洞攻擊的安全措施。 http://news.networkmagazine.com.tw/classification/security/2013/11/19/60303/
  60. 60. 資安與個資議題 •惡意程式攻擊 •個資外洩 •手機遺失 •手機使用不當 •企業環境中面臨的風險
  61. 61. 智慧型手機的規格 •硬體 •CPU:2GHz、四核心 •GPU:PowerVR / Adreno •記憶體:1GB ~ 3GB •網路 •3G、HSDPA •WiMax、LTE •Bluetooth、Wi-Fi •IR、NFC 感應卡! •敏感資料 –通話記錄 –簡訊、郵件、即時通訊 –聯絡人、社群網路 –照相機、錄音 –GPS 定位
  62. 62. 強大功能的危機? •持續連線的網路 -> 方便攻擊者隨時控制 •攝影鏡頭 -> 隨時錄影及拍照 •錄音程式 -> 隨時錄音 •GPS 定位 -> 回報位置 •帳號密碼 -> 竊取帳號密碼 •通訊錄及簡訊 -> 竊取個資並進行社交工程
  63. 63. 惡意程式 •竊取機敏資料 •帳號密碼 •通訊錄 •簡訊 •記憶卡中的資料 •信用卡等財務資料 •公司業務資料
  64. 64. 惡意程式 •攻擊作業系統 •使用現有的系統漏洞或未知的 0-Day 攻擊 •取得最高系統權限 •放置後門及竊取資料 •甚至將手機建置成 Botnet 的一員
  65. 65. 惡意程式 •盜打電話及簡訊 •惡意的撥打電話及發送簡訊 •發送付費簡訊 •增加受害者花費
  66. 66. 手機遺失 •手機等同電腦,在手機上使用越多服務,更要注 意手機遺失的風險 •手機若無上鎖加密,遺失手機等於將個人機敏資 料雙手奉上 •安裝尋找手機、遠端消除手機資料之軟體
  67. 67. 企業環境中面臨的風險 •3G 網路分享,導致內網外網混接 •造成公司內部資訊外洩 ! •惡意程式造成手機內的簡訊、信件、帳號密碼、 信用卡資訊、機敏資料等個資外洩,間接造成企 業風險
  68. 68. 應對方案 •更新手機的作業系統 •可無線上網之智慧型手機進行列管 •手機等同電腦,資安概念也必須對應到手機上 •建立遺失手機的對應方案
  69. 69. 行動裝置攻擊手法剖析
  70. 70. Android Architecture
  71. 71. Android Architecture
  72. 72. Kernel 層級漏洞 •CVE-2012-0056 gain privileges by modify process memory (/proc/pid/mem) •CVE-2013-2094 gain privileges via a crafted perf_event_open system call •CVE-2013-1773 gain privileges or cause a denial of service (system crash) via buffer overflow in the VFAT
  73. 73. Android Architecture
  74. 74. [WebKit] Use-After-Free Remote Code Execution ref: http://packetstormsecurity.com/files/cve/CVE-2010-1807
  75. 75. Android Architecture
  76. 76. Android Master Key Debacle ref: http://nakedsecurity.sophos.com/2013/07/10/anatomy-of-a-security-hole-googles-android-master-key-debacle-explained/
  77. 77. 802.1X Password Exploit ref: http://blog.mywarwithentropy.com/2012/02/8021x-password-exploit-on-many-htc.html
  78. 78. Android Architecture
  79. 79. ADB-Savvy Thieves
  80. 80. Android Architecture
  81. 81. Insecure Data Storage •手機 App 在存放資料時,沒有設定好完整安全的權限。可 能導致惡意程式竊取 App 的資料,例如帳號、密碼、對話 記錄、簡訊等機敏資料。 •存放方式如 » Shared Preferences » File » Database » Content Provider » External Storage (ex. SDCard)
  82. 82. Skype ref: http://www.androidpolice.com/2011/04/14/exclusive-vulnerability-in-skype- for-android-is-exposing-your-name-phone-number-chat-logs-and-a-lot-more/
  83. 83. # ls -l /data/data/com.skype.merlin_mecha/files/shared.xml 
 -rw-rw-rw- app_152 app_152 56136 2011-04-13 00:07 shared.xml # grep Default /data/data/com.skype.merlin_mecha/files/shared.xml 
 <Default>jcaseap</Default> ! # ls -l /data/data/com.skype.merlin_mecha/files/jcaseap 
 -rw-rw-rw- app_152 app_152 331776 2011-04-13 00:08 main.db 
 -rw-rw-rw- app_152 app_152 119528 2011-04-13 00:08 main.db-journal 
 -rw-rw-rw- app_152 app_152 40960 2011-04-11 14:05 keyval.db 
 -rw-rw-rw- app_152 app_152 3522 2011-04-12 23:39 config.xml 
 drwxrwxrwx app_152 app_152 2011-04-11 14:05 voicemail 
 -rw-rw-rw- app_152 app_152 0 2011-04-11 14:05 config.lck 
 -rw-rw-rw- app_152 app_152 61440 2011-04-13 00:08 bistats.db 
 drwxrwxrwx app_152 app_152 2011-04-12 21:49 chatsync 
 -rw-rw-rw- app_152 app_152 12824 2011-04-11 14:05 keyval.db-journal 
 -rw-rw-rw- app_152 app_152 33344 2011-04-13 00:08 bistats.db-journal
  84. 84. Client Side Injection •經由手機端利用 App 來竄改、惡意利用使用者的 資料,或者是經由 App 攻擊手機本身取得權限。
  85. 85. Demo •利用手機惡意程式盜取使用者 Facebook 帳號,讀 取帳號中的照片。
  86. 86. 應用程式安全開發指引
  87. 87. 如何確保應用程式安全 •主管機關如何把關程式安全? » 清楚定義產品規格、安全規格 » 要求實作單位進行滲透測試,並明定測試項目、 方式、結果,必要求修復後複測。 » 應用程式連接之伺服器須架構明確並進行保 護。 » 使用 SDLC 開發流程
  88. 88. Security Development Life Cycle (SDLC) •訓練、需求、設計、實作、驗證、發行、回應
  89. 89. 如何確保應用程式安全 » 尋找可靠的第三方安全顧問公司進行測試 •黑箱測試(Black-Box Test) » 模擬駭客的角度,測試應用程式的安全風險。 如進行滲透測試。 •白箱測試(White-Box Test) » 針對原始碼進行原碼檢測(Code Review),從 原始碼中尋找安全風險。
  90. 90. 如何確保應用程式安全 •知道風險的所在 » 應用程式(App)隨時與伺服器連接,伺服器 的安全會是一大重點。除了應用程式安全之 外,更要加強伺服器安全。 » 與應用程式連接之伺服器進行隔離及管控。 » SQL Injection 等風險為個資外洩主要管道。
  91. 91. Android 防護
  92. 92. Q & A
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×