1. IL RISCHIO E’ MOBILE!
MATTIA EPIFANI
DIGITAL FORENSICS EXPERT & CEO @ REALITY NET – SYSTEM SOLUTIONS
PRESIDENTE @ ASSOCIAZIONE DIGITAL FORENSICS ALUMNI (DFA)

2. COSAVEDREMO
Perché il rischio è “mobile”
OWASP Top 10 Mobile Risks
Esempi concreti e reali di minacce
L’utilizzo dei sistemi di Cloud su dispositivi “mobile”
Contromisure e protezioni

3. PERCHÉ IL RISCHIO È MOBILE?
 Negli ultimi anni gli smartphone e i tablet sono entrati prepotentemente sul mercato e nella
nostra vita quotidiana
 Sono utilizzati sia a livello personale sia a livello aziendale (corporate vs. BYOD)
 Li utilizziamo per scopi tradizionali e per svolgere attività che prima facevamo con il
computer
 Memorizziamo contatti, facciamo telefonate, inviamo SMS
 Navighiamo su Internet, consultiamo la posta elettronica, utilizziamo diverse forme di
comunicazione (Skype,WhatsApp,Viber, Facebook, Linkedin,Twitter, ecc.)
 Acquistiamo oggetti, viaggi e servizi
 Accediamo al conto corrente
 E soprattutto…non ci preoccupiamo di sapere se i nostri dati sono al sicuro!

4. MOBILE MARKET SHARE

5. OWASPTOP 10 MOBILE RISKS
https://www.owasp.org/index.php/OWASP_Mobile_Security_Project

6. ACCESSO A INFORMAZIONI SENSIBILI
 Dati sensibili dell’utente possono essere memorizzati all’interno del dispositivo in
modo non sicuro
 Username, passwords, cookies, authentication tokens, location data
 A volte dipende dall’applicazione e dal suo programmatore
 Memorizzazione di credenziali in modo non cifrato all’interno di file di testo, plist,
database SQLite
 Dipendenza da una master password debole
 "The mobileak project: Forensics methodology for mobile application privacy assessment,“
Stirparo, P.; Kounelis, I.,
http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=6470964&isnumber=6470811
 A volte dipende dall’utente/azienda che non configurano in modo adeguato il
dispositivo seguendo le linee guida

7. ACCESSO A INFORMAZIONI SENSIBILI
 Nel 2012 Elcomsoft ha presentato uno studio svolto sulle 17
applicazioni di password storage più famose su iOS e
BlackBerry
 10 su 17 sono risultate insicure e accessibili in meno di un
giorno!
 http://www.elcomsoft.com/WP/BH-EU-2012-WP.pdf

8. ACCESSO A INFORMAZIONI SENSIBILI
 Utilizzando iTunes è possibile effettuare un backup di un dispositivo iOS
 Per poter effettuare il backup è necessario che
 Il telefono non sia protetto da codice di blocco, oppure
 Conoscere il codice di blocco, oppure
 Avere a disposizione i certificati di sincronizzazione del dispositivo presenti su un computer
trusted
 Il file keychain conserva le password delle reti WiFi, delle caselle di posta elettronica e delle
applicazioni di terze parti che decidono di utilizzarlo
 Se il backup non è cifrato  il file keychain è cifrato utilizzando una chiave hardcoded nel
dispositivo
 Se il backup è cifrato con password  il file keychain è cifrato utilizzando la password
scelta dell’utente

9. ACCESSO A INFORMAZIONI SENSIBILI
 Se l’attaccante riesce a mettere le mani su un telefono sbloccato può:
 Fare un backup scegliendo la password che desidera
 Fare “cracking” del backup…con la password nota 
 Accedere ai dati presenti nel telefono…e alle password memorizzate nel keychain
 Se l’attaccante (es. vicino di scrivania, moglie/marito) ha anche accesso al computer
della vittima allora può bypassare il codice di blocco estraendo i certificati di
sincronizzazione (cartella Lockdown) e ritrovarsi nel caso precedente

10. ACCESSO A INFORMAZIONI SENSIBILI

11. ICLOUD
 iCloud permette agli utenti di effettuare il backup di iPhone online, per
consentire il ripristino dei dati anche su un altro dispositivo (es. in caso di
sostituzione)
 Le uniche informazioni necessarie per accedere a un backup memorizzato su iCloud
sono le credenziali dell’utente
 Le credenziali dell’utente….possono essere memorizzate nel dispositivo…

12. ICLOUD
 I ricercatori della software house russa Elcomsoft hanno analizzato il protocollo di
comunicazione tra iDevice e Apple iCloud e sono riusciti ad emulare i comandi
corretti per recuperare il contenuto dello storage iCloud di un utente
(http://cansecwest.com/slides/2013/Cracking%20and%20Analyzing%20Apple%20iClou
d.ppt)
 Le operazioni di download sono completamente trasparenti all’utente
proprietario del dispositivo ed è quindi possibile “tenere sotto controllo” le
attività dell’utente stesso, ovvero monitorare ogni volta che viene creato un
nuovo backup

13. ICLOUD

14. ICLOUD

15. ICLOUD

16. IPHONE BACKUP ANALYZER

17. CODICI DI BLOCCO
 L’accesso al dispositivo può essere impedito utilizzando un codice di
blocco
 Tipicamente in ambiente aziendale tale codice è un requisito necessario
a livello di policy e con gestione centralizzata
 E’ possibile attivare funzionalità di wiping dei dati o di blocco del
telefono dopo un certo numero di inserimenti errati (es. 10 tentativi)
 Tuttavia anche l’utilizzo di codici di blocco sul dispositivo può essere in
alcuni casi inutile…

18. BYPASS DEL CODICE DI BLOCCO - IOS
 Su tutti i dispositivi iOS con processore fino a A4 (iPhone 4, iPad) un
codice di blocco a 4 cifre può essere violato in 20 minuti circa
 La tecnica consiste nell’avviare il dispositivo in modalità DFU e caricare
direttamente in RAM un sistema operativo
 iOS Data ProtectionTools (opensource)
 iOS ForensicToolkit (commerciale, Elcomsoft)
 UFEDTouch (commerciale, Cellebrite)
 Mobile Phone Examined (commerciale,AccessData)

19. IPHONE DATA PROTECTIONTOOLS

20. CODICE DI BLOCCO - BLACKBERRY
 I dispositivi BlackBerry possono
essere bloccati e cifrati con un
codice
 Quando un telefono è locked, è
necessario fornire il codice
 Per accedere al dispositivo
 Per effettuare un backup

21. BYPASS DEL CODICE DI BLOCCO - BLACKBERRY
 I telefoni BlackBerry contengono solitamente una
Memory Card, il cui contenuto può essere in chiaro o
cifrato
 Se il contenuto è in chiaro la Memory Card può essere
estratta e letta su un altro dispositivo (telefono o
computer), rendendo l’accesso ad alcuni dati molto
semplice
 Se l’utente decide di cifrare il contenuto della Memory
Card può scegliere tra
 Device
 Security Password
 Security Password & Device

22. BYPASS DEL CODICE DI BLOCCO - BLACKBERRY
 La chiave cifrata viene memorizzata nella memory card
all’interno del file BlackBerrySysteminfo.mkf
 In questo modo posso fare un attacco bruteforce
offline….e quindi senza attivare i sistemi di blocco e/o
wiping del dispositivo!
 Un codice a 4 cifre viene decifrato in tempo reale
 E’ possibile effettuare attacchi a PIN complessi o a
passcode utilizzando metodi a wordlist o bruteforce

23. MOBILE THREAT REPORT (F-SECURE)
MALWAREVS PUA

24. MOBILE THREAT REPORT (F-SECURE)
Q4 2012 / Q1 2013

25. ANDROID MOBILE MALWARE
 Android è la piattaforma più colpita dai malware
 Piattaforma diffusa
 Possibilità di installare applicazioni dal market ufficiale (Google
Play) o da market alternativi (Amazon,Aptoide, Blackmat, ecc.)
 Verifica solo parziale del funzionamento di un applicazione da
parte di Google Bouncer
 Solo Google Play
 Solo analisi dinamica
 Solo per 5 minuti…e se il malware parte dopo 6??
 Rimozione basata unicamente su feedback degli utenti
 E’ tipico trovare applicazioni “cracckate” che sono state
modificate inserendo una parte di codice malevolo

26. ANDROID MOBILE MALWARE
 Diverse classificazioni, in funzione dello scopo del Malware
 Furto di credenziali dell’utente
 Invio di SMS a numeri premium
 Botnet
 Ecc.
 Android Malware Genome Project
http://www.malgenomeproject.org/
 Raccolta di 1.200 malware tra il 2010 e il 2011, con relativa classificazione e principali
caratteristiche

27. ANDROID MOBILE MALWARE
 Per identificare un malware si può fare:
 Analisi statica
 Analisi dinamica
 Per l’analisi statica si possono utilizzare scanner online
 Virustotal.org
 Andrototal.org (Politecnico di Milano)
 Mobilesandbox.org
 Oppure fare reverse dell’applicazione…

28. ANDROID MOBILE MALWARE – ANALISI STATICA
 Le applicazioni Android sono sviluppate prevalentemente in linguaggio Java
 Il compilatore trasforma il codice sorgente in file class e successivamente in file
DEX (Dalvik Executable)
 Gli eseguibili DEX sono inseriti all’interno di file APK (Android Package),
con altri file di supporto (file XML, immagini dell’applicazione, ecc.)
 Un file APK è quindi, sostanzialmente, un file ZIP contenente
 File classes.dex (eseguibile)
 File AndroidManifest.xml (permessi richiesti dall’applicazione)
 Cartelle META-INF e RES (risorse aggiuntive dell’applicazione)

29. ANALISI APP ICALENDAR
 Applicazione per la gestione di un calendario appuntamenti
http://securityxploded.com/demystifying-android-malware.php
 Verifico il malware utilizzandoVirus Total

30. ANALISI APP ICALENDAR
 Visualizzo il contenuto del file utilizzando un software di decompressione

31. ANALISI APP ICALENDAR
 Visualizzo il contenuto del file AndroidManifest.xml per vedere i permessi
richiesti dall’applicazione
uses-permission
#android.permission.INTERNET
#android.permission.ACCESS_COARSE_LOCATION
#android.permission.RESTART_PACKAGE
#android.permission.RECEIVE_SMS
#android.permission.SEND_SMS
#android.permission.SET_WALLPAPER

32. ANALISI APP ICALENDAR
 Converto il file DEX in file class (utilizzando DEX2JAR)

33. ANALISI APP ICALENDAR
 Decompilo il file JAR utilizzando JD-GUI

34. ANALISI APP ICALENDAR
 Cerco di identificare elementi sospetti…

35. ANALISI APP ICALENDAR
 Identifico il numero di telefono

36. ANALISI APP ICALENDAR
 Continuo ad analizzare il codice sorgente…

37. ANALISI APP ICALENDAR
 Continuo ad analizzare il codice sorgente…

38. ANALISI APP ICALENDAR
 Continuo ad analizzare il codice sorgente…

39. ANALISI APP ICALENDAR
 In conclusione…
 L’applicazione invia un messaggio SMS al numero 1066185829 con
il testo 921X1
 In background blocca la ricezione di messaggi da questo numero
in modo tale che la vittima non riceva risposta
 Il messaggio viene inviato solo una volta, per evitare attività di
unsubscribe o sospetti da parte dell’utente

40. SIDE CHANNEL DATA LEAKAGE
 I sistemi operativi mobile memorizzano al loro interno informazioni sulle attività
dell’utente
 Alcune informazioni possono essere cancellate con facilità dall’utente
 Altre sono memorizzate automaticamente e di più complessa rimozione
 Screenshot delle applicazioni
 Dizionario dell’utente
 Localizzazioni GPS

41. SNAPSHOT DELLE APPLICAZIONI
 In iOS sono scattate
automaticamente per gestire lo
switching delle applicazioni
(zoom in-out)
 Snapshot dello schermo salvato
all’interno del file system
 Possibilità di recuperare anche file
cancellati attraverso operazioni di
carving…

42. DIZIONARIO DELL’UTENTE
 In iOS Il file di testo dynamic-
text.dat contiene le parole digitate
per semplificare la scrittura con la
tastiera su schermo
 L’ordine cronologico delle
parole permette spesso di
estrarre frasi di senso
compiuto!

43. LOCALIZZAZIONI GPS
 Il file consolidated.db salva le
informazioni relative a hotspot
Wi-Fi e celle agganciate, con
relativo timestamp e coordinate
geografiche
 Fino iOS 4.3 conservate per un
anno, salvate nel backup in chiaro
anche se la geolocalizzazione era
disattivata!
 Da iOS 4.4 conservate per 7 giorni e
solo se la geolocalizzazione è attiva
 E comunque non è poco…

44. AUTENTICAZIONE BASATA SUVALORI FISSI
 Un’altra categoria di problema che si può presentare è l’utilizzo di sistemi di
autenticazione basata su valori fissi
 Esempio: hash MD5 dell’IMEI del telefono o del MAC Address della scheda WiFi
 Un problema simile è stato riscontrato in WhatsApp (settembre 2012)
http://www.oversecurity.net/2012/09/17/whatsapp-hacked-impersioniamo-unaltra-persona/
 Android md5(strrev($imei))
 BlackBerry md5(strrev($imei))
 iOS md5($wlanMAC$wlanMAC)
 https://github.com/venomous0x/WhatsAPI

45. CONTROMISURE?
 Utilizzare codici di sblocco complessi (non 4 cifre…)
 Scegliere una password per il backup del telefono
 Attivare funzionalità di wiping remoto
 Verificare sempre l’applicazione che si installa (p.es. installare un anti-malware sul
telefono)
 In azienda impedire l’installazione di applicazioni non autorizzate
 Effettuare attività di PenTesting sui dispositivi e sulle applicazioni installate
 Educare gli utenti!!

46. DFA (DIGITAL FORENSICS ALUMNI)
 L’Associazione Digital Forensics Alumni (DFA) nasce nel 2009 da un’iniziativa di
persone provenienti dal mondo giuridico, tecnico e investigativo
 Offrire eventi di aggiornamento formativo e approfondimento gratuiti e aperti al
pubblico
 Creare un patrimonio formativo nell’ambito della Digital Forensics e valorizzare le
competenze di ogni socio in una prospettiva di crescita collettiva grazie alla condivisione
 Offrire un servizio di newsletter mensile sulle ultime novità della Digital Forensics, per
tenersi sempre aggiornati (anche per i non soci)
 Se sei interessato a seguire le nostre attività puoi iscriverti alla nostra
newsletter mensile!
 www.perfezionisti.it
 info@perfezionisti.it

47. Q&A?
Mattia Epifani
 Digital Forensics Expert
 Owner @ REALITY NET – System Solutions
 Presidente DFA
 CEH, CHFI, CCE, CIFI, ECCE,AME,ACE, MPSC
Mail mattia.epifani@realitynet.it
Linkedin http://www.linkedin.com/in/mattiaepifani