Webinar last

524 views
404 views

Published on

Webinar last

  1. 1. www.hackapp.com Чем грозит мобильная революция Уязвимости мобильных приложений
  2. 2. www.hackapp.com О чем мы будем говорить? — Что такое мобильная революция — Уязвимости мобильных приложений — Подходы и инструменты для выявления проблем
  3. 3. www.hackapp.com Что такое мобильная революция?
  4. 4. www.hackapp.com Где мы сейчас ?
  5. 5. www.hackapp.com Почему так произошло?
  6. 6. www.hackapp.com Пользователи любят «здесь и сейчас» — Социальные сети — Картографические сервисы и локальный поиск — Быстрые ответы
  7. 7. www.hackapp.com Устройства становятся доступнее — Плеер — Навигатор — Камера — Сообщения — Телефон — Приближение к функционалу десктопа Сколько же все это стоит ??
  8. 8. www.hackapp.com
  9. 9. www.hackapp.com Мобильный интернет проще — Не нужно кидать провод — Всегда под рукой
  10. 10. www.hackapp.com Любимые приложения —Игры —Видеосвязь —Карты
  11. 11. www.hackapp.com Телефон = Бумажник + Ключи —Мобильные платежи —2х факторная аутентификация —Мобильный банкинг
  12. 12. www.hackapp.com Множество абонентов, и что? — Новые данные для маркетинговых исследований — Определяются новые потребности — Потребности монетизируется
  13. 13. www.hackapp.com
  14. 14. www.hackapp.com Что за данные ? —Социальный граф —Координаты (GPS) —MAC и IMEI —Корреляция всего перечисленного
  15. 15. www.hackapp.com Что дальше? Internet of things !
  16. 16. www.hackapp.com Базовые угрозы “You wanted to be a genie? You got it and everything what goes with it !” Aladdin
  17. 17. www.hackapp.com Scope
  18. 18. www.hackapp.com «Облачная» сторона iOS —Постоянное подключение —Удаленное управление —Закрытый протокол —Backup в icloud —Приватность «держится» на appleid
  19. 19. www.hackapp.com «Облачная» сторона Android —Автоматическая установка любых приложение из google play —Управляется через учётную запись в Google
  20. 20. www.hackapp.com Корневые сертификаты iOS Android
  21. 21. www.hackapp.com Обновления в Android —Приложения постоянно лезут обновляться, расширяя права —ОС может не обновляться вообще (зависит от модели) —Закрытый исходный код прошивок
  22. 22. www.hackapp.com Вы не хозяин – вы пользователь
  23. 23. www.hackapp.com Как выглядит нападающий ?
  24. 24. www.hackapp.com Что мы защищаем? —Данные на устройстве ● Вредоносное ПО ● Физический доступ —Данные передаваемые по сети ● Пассивный перехват ● Активный перехват
  25. 25. www.hackapp.com Нападающий может —Может контролировать канал (MITM) —Может получить физический доступ к устройству (без спецсредств) —Может установить свое приложение на устройстве —Имеет доступ к дистрибутивам приложений, которыми пользуется пользователь
  26. 26. www.hackapp.com Нападающий НЕ может —Использовать уязвимости ОС —Не имеет привилегированного доступа к СA —Не использует социальную инженерию —Не имеет привилегированного доступа к облачной стороне ОС (icloud,play)
  27. 27. www.hackapp.com Что такое мобильное приложение?
  28. 28. www.hackapp.com Дистрибутив – ZIP архив —Ресурсы (картинки, аудио, строки) —Код в бинарном виде —Мета-данные (подписи, сертификаты и пр) —????
  29. 29. www.hackapp.com Что такое DRM и зачем? (Digital rights management) —Шифрование кода с привязкой к устройству —Не позволяет копировать приложение между устройствам
  30. 30. www.hackapp.com Какими ресурсами располагает приложение? —Работает с неразделяемым хранилищем —Работает с разделяемым хранилищем —Работает с сетевыми сокетами —Взаимодействует с другими приложениями
  31. 31. www.hackapp.com Поверхность атаки
  32. 32. www.hackapp.com Ошибки в архитектуре. «Общественная» аутентификация
  33. 33. www.hackapp.com
  34. 34. www.hackapp.com
  35. 35. www.hackapp.com Amazon cloud token
  36. 36. www.hackapp.com Внутри облака
  37. 37. www.hackapp.com Файлы
  38. 38. www.hackapp.com Координаты
  39. 39. www.hackapp.com Итог —Amazon отозвал ключи – приложение отключилось —Выкатка новой версии в AppStore занимает ~7 дней —Фрустрация пользователей
  40. 40. www.hackapp.com Ошибки в архитектуре Аутентификация на клиенте
  41. 41. www.hackapp.com
  42. 42. www.hackapp.com Файлы
  43. 43. www.hackapp.com Один VPN на всех
  44. 44. www.hackapp.com Итог —Бесплатный VPN всем желающим за счёт MarblesSecurity
  45. 45. www.hackapp.com Ошибки при сохранении данных Случай с Telegram
  46. 46. www.hackapp.com Android – кеширование чата на SD
  47. 47. www.hackapp.com Android – кеширование чата на SD
  48. 48. www.hackapp.com Android – Итог —Секретный чат кешируется на SD, т.е. доступен любому приложению, т.к.
  49. 49. www.hackapp.com iOS – история в открытом виде
  50. 50. www.hackapp.com iOS – история в открытом виде в backup
  51. 51. www.hackapp.com iOS – Итог —Секретный чат сохраняется в открытом виде —BackUp выполняется в iCloud автоматически —Из iCloud BackUp скачивается с помощью AppleID, пароль к которому можно ● Сфишить ● Подобрать
  52. 52. www.hackapp.com Артефакты разработки
  53. 53. www.hackapp.com Следы DEV-среды —Cсылки на тестинг —Ссылки на отладочные интерфейсы —Следы систем контроля версий
  54. 54. www.hackapp.com Что-нибудь удивительное —Исходники —Приватные ключи — … да все что угодно
  55. 55. www.hackapp.com Остатки dev-данных в SQLite
  56. 56. www.hackapp.com Data Leak в логах приложения
  57. 57. www.hackapp.com Data Leak - syslog
  58. 58. www.hackapp.com Data Leak – Crash Dumps
  59. 59. www.hackapp.com Использование сторонних компонентов
  60. 60. www.hackapp.com "Titanium is an open-source framework that allows the creation of mobile apps on platforms including iOS, Android, Windows Phone, BlackBerry OS, and Tizen from a single JavaScript codebase". http://www.securify.nl/advisory/SFY20140301/nss_2014_affected_by_remote_code_execution ___insecure_certificate_validation.html “ As it seems,there are various situations in which Titanium will use insecure connections.Due to this, it is more likely for developers to create an insecure app than one that does validate server certificates ”
  61. 61. www.hackapp.com —OpenSSL 1.0.0e ● CVE-2011-3207 ● CVE-2011-3210
  62. 62. www.hackapp.com Итог —Можно оказаться в заложниках у тех, кого безопасность не интересует
  63. 63. www.hackapp.com Уязвимости в механизмах взаимодействия приложений
  64. 64. www.hackapp.com iOS Android — scheme:// — scheme:// — Content Provider — Service — Receiver
  65. 65. www.hackapp.com Scheme:// Автоматический вызов приложения с параметрами в ссылке: <iframe src="facetime-audio://user@host.com"></iframe> CVE-2013-6835
  66. 66. www.hackapp.com Content Provider Предоставляет интерфейс, для чтения заданных данных одного приложения другим — SQL инъекции — Некорректнаянастройка доступа к данным Может эксплуатироватьсявредоносным ПО, написанным под конкретные приложения
  67. 67. www.hackapp.com ContentProvider Хороший Пример инъекциив приложение eBay: https://viaforensics.com/mobile-security/ebay-android-content-provider-injection-vulnerability.html
  68. 68. www.hackapp.com Service и Receiver — Service ● Работа с данными, пока приложениеотключено — Receiver ● «хук» на системное событие,котороезапускает приложение (например, получение SMS) Может эксплуатироватьсявредоносным ПО, написанным под конкретные приложения
  69. 69. www.hackapp.com Итог —Приватные данные будут доступны стороннему ПО —Можно столкнуться с вредоносным ПО написанным под конкретное приложение
  70. 70. www.hackapp.com Безопасность канала
  71. 71. www.hackapp.com MITM+Sniff — Нет шифрования — Нет контроля подлинности сертификата — Утечка данных через сторонние библиотеки
  72. 72. www.hackapp.com «Утечка» GPS координат в Telegram
  73. 73. www.hackapp.com «Утечка» GPS координат в Telegram
  74. 74. www.hackapp.com «Облачная» сторона (API)
  75. 75. www.hackapp.com Что это? —HTTP(S) (в большинстве случаев) —Все server-side уязвимости веб-приложений ● SQLi ● XXE ● RCE ● ….
  76. 76. www.hackapp.com Анализ безопасности
  77. 77. www.hackapp.com Динамический Изучение реакции программы на атаки по факту —Ручной —На устройстве —Требует индивидуального подхода —Самый дорогой 
  78. 78. www.hackapp.com Статический Поиск сигнатур уязвимостей —Автоматизируется —Вне устройства —Требует базы сигнатур —Много ошибок вида False Positive —Дешевле
  79. 79. www.hackapp.com Инструменты статического анализа
  80. 80. www.hackapp.com Анализ дистрибутива —Скрипты с использованием Zip,awk,grep,sqlite3 и т.п. —HackApp – all-in-one сервис + декомпилятор Android ● Поиск по сигнатурам в бинарных структурах ● Поиск подозрительных файлов ● Анализ манифеста приложения
  81. 81. www.hackapp.com Анализ бинарного кода iOS Android — Снятие DRM https://github.com/KJCracks/Clutch — Определение списка Objective-C классов https://code.google.com/p/networkpx/wiki /class_dump_z — Дизассемблер https://www.hex-rays.com/products/ida/ — Декомпиляция http://jd.benow.ca/ — Деобфускатор https://github.com/fileoffset/JDO — Инструментация https://code.google.com/p/android -apktool
  82. 82. www.hackapp.com Инструменты динамического анализа
  83. 83. www.hackapp.com iOS Android — GDB https://github.com/KJCracks/Clutch — Mobile Substrate http://iphonedevwiki.net/index.php/MobileS ubstrate — Mallory SSL Proxy https://intrepidusgroup.com/insight/mallory/ — Jailbreak  http://evasi0n.com/ — VBOX+ANDROID http://habrahabr.ru/post/119931/ — Android x86 https://code.google.com/p/android- x86/downloads/list — Mallory SSL Proxy https://intrepidusgroup.com/insight/mallo ry/ — Drozer https://github.com/mwrlabs/drozer
  84. 84. www.hackapp.com Поддержка приложения —План поддержки —Возможность патча —Регулярный анализ новых версий
  85. 85. www.hackapp.com Насколько сложно нападать? Smartphone Pentest Framework
  86. 86. www.hackapp.com —Заражение приложений —Сбор информации —Проксирование нападения —Совместимость с Metasploit http://www.bulbsecurity.com/smartphone-pentest-framework/spf-user-guide/ https://github.com/georgiaw/Smartphone-Pentest-Framework
  87. 87. www.hackapp.com
  88. 88. www.hackapp.com Спасибо за внимание Вопросы? @hackappcom amt@hackapp.com

×