Your SlideShare is downloading. ×
Петр Хенкин. Уязвимости реализаций криптографических приложений для платформы Android.
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Петр Хенкин. Уязвимости реализаций криптографических приложений для платформы Android.

379
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
379
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Уязвимости реализацийкриптографических приложений дляплатформы AndroidХенкин ПетрЗАО «Перспективный мониторинг»
  • 2. Содержание• Intro• Модель угроз и нарушителя• Обзор приложений– Шифрование текста, учетных данных– Шифрование/сокрытие файлов• Выводы2
  • 3. Мобильные платформы3• Более чем полноценный узел сети– Больше сетевых интерфейсов, почти всегдаонлайн– «Синхронизация» с «большими» ПК, >1– Авторизация в Интернет сервисах– Гео-позиционирование• Личные и рабочие данные– Документы (USB flash, Dropbox)мобильный офис– Заметки, контакты, сообщения– фотографии
  • 4. Проблемы восприятия• Разное отношение к устройству– Мобильное устройство = компьютер– Мобильное устройство = просто телефон• Мобильное устройство = высокая мобильность– Дома– В корпоративной сети (BYOD)– Доступ к корпоративным ресурсам извне– Доступ через недоверенные сети• Что делать с этим объемом данных?
  • 5. Шифрование нас спасет!• Огромное количествоприложений– “encryption” более 300 приложений– “protect data” аналогично• Многообещающе и надежно– «industry standard AES encryption»– «Keep confidential information safeusing 256bit AES algorithm»– «Представьте, что ваш телефонпотерян или украден, при этом Выможете быть спокойны»5
  • 6. Содержание• Intro• Модель угроз и нарушителя• Обзор приложений– Шифрование текста, учетных данных– Шифрование/сокрытие файлов• Выводы6
  • 7. Был телефон и нет…• Высокий риск потери устройства• Каждую минуту в США крадут 113 телефонов• Каждый день в Лондоне крадут 314 телефонов• 120 000 телефонов забывают в такси Чикаго• Январь 2013 украден телефон израильскойчиновницы с секретными даннымиhttp://www. norton.com http://www.bbc.co.uk/news/uk-england-london-210185697
  • 8. Не только воровство• Вредоносное ПО– Контроль качества низкий(Google play – по жалобам)– Repackaging ПО – публикацияизвестного ПО с вирусом– Update-атаки – вредоносныйфункционал в обновлении• Полномочия в системе– Синдром Click-ok8
  • 9. root? Да!– root как стиль жизни( ~ 50% устройств)– Superuser более 10 млн. установок– Easy-root (GingerBreak, update.zip)– Root из коробки (Meizu и др.)Root-доступ к устройству– перепрошивка– отключение постоянной работы лишнихприложений– удалить bloatware– полезные приложения (Adfree, Backup)9
  • 10. Предположим что…• Злоумышленник может– Получить доступ к устройству(украден? забыт? вирус?)– Получить доступ к OS телефона• Злоумышленник хочет– доступ к конфиденциальнымданным – чтение:• Заметки• Файлы• Учетные данные10
  • 11. Содержание• Intro• Модель угроз и нарушителя• Обзор приложений– Шифрование текста, учетных данных– Шифрование/сокрытие файлов• Выводы11
  • 12. Выбор приложений– Google play only– Free-app– Не менее 100 тыс. скачиваний– Поиск по ключевым словам:• Encrypt• Protect files• Protect images12
  • 13. Методы исследований– Функциональность приложения (user-mode)– Тестовые данные– Анализ External Storage (SD)– Анализ Internal Storage (data/data/…):• SQLite Databases• Shared Preferences (XML)• без реверсинга APK файла приложения• 14 проблемных приложений из 20• Общее число установок более 12 млн.13
  • 14. Шифрование текста, учетных данных• Safe Noteso Установок 500 000 - 1 000 000• OI Safeo Установок 100 000 - 500 000• Password Safe liteo Установок 100 000 - 500 000• Secret Safe liteo Установок 100 000 - 500 000• Keepero Установок 1 000 000 – 5 000 000• B-folders password managero Установок 100 000 - 500 00014Много приложений соскачиваниями1 000 - 10 000
  • 15. B-folders password manager• Шифрование БД нафиксированном ключе (присоздании БД)• БД хранится на SD• Хэш пароля без соли (послесоздания БД)15o Установок 100 000 - 500 000
  • 16. Keeper• В БД - md5 хэш от пароля• Хэш пароля без соли• Поле не проверяется призапуске ПО16*хэш удален в текущей версииb59c67bf196a4758191e42f76670ceba00000000000000000000000000000000o Установок 1 000 000 – 5 000 000
  • 17. Password Safe lite• Шифрование записей БД нафиксированном ключе• Хэш в XML файле• Зачем ломать если можнозаменить?17o Установок 100 000 - 500 000
  • 18. OI Safe• Шифрование записей БД нафиксированном ключе• Ключ шифруется паролем в БД• Соль задается при создании БД• Заменяем поле с паролем и соль18o Установок 100 000 - 500 000
  • 19. Secret Safe lite• Ключ - однократный md5хэш от пароля• Хэш пароля без соли• AES в режиме ECB19*хэш исправлен в текущей версииo Установок 100 000 - 500 000
  • 20. Safe Notes• Шифрование записей БД нафиксированном ключе• БД на SD• Ключ шифруется паролем в БД• Соли нет• Заменяем поле с паролем в БД20o Установок 500 000 – 1 000 000
  • 21. Типовые проблемы– Использование фиксированныхключей– Слабые алгоритмы хэширования– Применение хэшей а не KDFфункций– формирование ключанепосредственно из пароля– Слабые режимы шифрования21
  • 22. Содержание• Intro• Модель угроз и нарушителя• Обзор приложений– Шифрование текста, учетных данных– Шифрование/сокрытие файлов• Выводы22
  • 23. Шифрование/сокрытие файлов• File hide proo Установок 100 000 - 500 000• File hide experto Установок 1 000 000 – 5 000 000• File lockero Установок 500 000 – 1 000 000• Smart lock freeo Установок 1 000 000 – 5 000 000• Smart gallery locko Установок 1 000 000 – 5 000 000• Gallery locko Установок 1 000 000 – 5 000 000• Vault-hideo Установок 5 000 000 – 10 000 000• Hide it proo Установок 1 000 000 – 5 000 00023Популярны для храненияличных данных
  • 24. File hide expert• Скрытая папка .hermit• Файлы перемещаются в своюфайловую БД на SD (переименованы)• Пароль в plaintext24o Установок 1 000 000 – 5 000 000
  • 25. File hide pro• File hide expert + маскировка поддругое ПО • Файлы перемещаются в единую БД• Пароль в plaintext (отдельный)25o Установок 100 000 - 500 000
  • 26. Smart lock free• Приложения/контакты/медиа• Скрытая папка на SD .smart_lock• Шифрования нет, свой формат • В xml хэш md5 от пароля26o Установок 1 000 000 – 5 000 000
  • 27. Smart gallery lock• Только мультимедиа• Скрытая папка на SD .smartgalleryfree• Переименование файла• В xml пароль в открытом виде27o Установок 1 000 000 – 5 000 000
  • 28. File locker• Файл переименовывается• Шифрование каждого на индивидуальномпароле• Шифрование без соли• Шифрование ли?(64 0x00 pass 1111)(64 0x00 pass 0000)28o Установок 500 000 – 1 000 000
  • 29. Gallery lock• Только мультимедиа• Скрытая папка на SD не в корнеSD/data/.GalleryLock• Шифрования нет, только переименовывание• В xml пароль в открытом виде29o Установок 1 000 000 – 5 000 000
  • 30. Hide it pro• маскировка под ПО Audio Manager• Скрытая папка на SD вSD/ProgramData/Android/Lang/.fr• Создает мнимую структуру каталогов вSD/ProgramData/Android• Шифрование есть, завязано на мастер-пароле• В xml пароль в открытом виде30o Установок 1 000 000 – 5 000 000
  • 31. Vault-hide• Более 5 млн установок!• Обещано Encryption• Папки на SD вSD/SystemAndroid/Data/…• В своей БД все пути и имена• От пароля зависят пути• Файлы зашифрованы: ………31o Установок 5 000 000 – 10 000 000
  • 32. Vault-hide• Только заголовок• Циклический байт• Зависит от пароля• Стандарты дляфайлов32
  • 33. Типовые проблемы– Хранение паролей в открытом виде– Protection vs Encryption– Псевдокриптография– Только механизмы скрытых папок– Слабые алгоритмы хэширования33
  • 34. Содержание• Intro• Модель угроз и нарушителя• Обзор приложений– Шифрование текста, учетных данных– Шифрование/сокрытие файлов• Выводы34
  • 35. Проблема выбора• Огромное количествоприложений– Выбор по внешнему виду– SEO на ключевые слова• Многообещающе и надежно– Отзывы, звезды, тесты– Реальная безопасность?35
  • 36. Шифрование? Really?• Правильная криптография– Ultimate weapon– Проблемы в BYOD• Мнимая безопасность– Опасное заблуждение– Специально?36
  • 37. От кого защищаемся?• Кража телефона/шпионаж– Список приложений известен– Ожидаемые данные– Известно где искать• Вредоносное ПО– доступ ко всей картеизвестны пути на SDРеальная защита только от ….37
  • 38. Спасибо за внимание!Вопросы?Хенкин ПетрPetr.Khenkin@advancedmonitoring.ruinfo@advancedmonitoring.ruhttp://advancedmonitoring.ru/@am_rnd38

×