Paweł Jakub Dawidek: Zarządzanie danymi wrażliwymi w aplikacjach - analiza bezpieczeństwa platform mobilnych.

Mobile Trends
Mobile TrendsMobile Trends
Managing sensitive data in mobile applications Paweł Jakub Dawidek CTO <p.dawidek@mobter.com>
a bit of history
in 2004 we start a company (Wheel Systems) after 12 years... mission not yet fully accomplished, but really soon now in 2005 we deploy CERB (corporate version) for the first time our mission: eliminate static passwords! our product: authentication system (CERB) which uses mobile application as one-time password generator it is 2004, so the name for the app is obvious: JavaToken in 2007 we deploy CERB Banking in Eurobank in 2013 we launch Mobter
JavaToken Can run on (almost) any Java phone Implements AES, SHA256 Fits easily into 30kB limit
challenges
no SSL/TLS (no secure transport) no AppStore, no Google Play no applications signing no secure updates internet communication only during installation no PIN to unlock your phone, no TouchID, etc. not enough power to harden PIN no full disk encryption 30kB application size limit
solutions
.jar contains a secret encrypted using activation code application built-in secret dedicated .jar for every customer activation code provided in bank outpost unpredictable URL send via WAP-Push or SMS (no access for bank’s employees) start identifier challenge compression (9 digits) no local PIN verification (a playing card hint, 6.25%, 625)
technologies available back then
desktop OS vs. mobile OS
application isolation much more secure installation process mobile OSes designed for single user separation between applications autonomous platform (problem when compromised) native apps allow for better security than web sites (eg. certificate pinning)
Android fragmentation problem (two dimensions)
Paweł Jakub Dawidek: Zarządzanie danymi wrażliwymi w aplikacjach - analiza bezpieczeństwa platform mobilnych.
much harder and longer to update for security fixes Android customized by hardware vendors and mobile operators much slower adoption for new security features various security features not available for all hardware vendors
data protection
iOS credit: NCC Group
iOS credit: NCC Group
Android credit: NCC Group
Android credit: NCC Group
Questions?
1 of 20

Paweł Jakub Dawidek: Zarządzanie danymi wrażliwymi w aplikacjach - analiza bezpieczeństwa platform mobilnych.

Download to read offline
Mobile

Prezentacja pokaże historyczny rozwój platform mobilnych na przykładzie naszego doświadczenia z użycia technologii mobilnych w bankowości elektronicznej/mobilnej oraz przeanalizuje i porówna bezpieczeństwo platform mobilnych.

Mobile Trends
Mobile TrendsMobile Trends

Recommended

Nokia OVI Belgium by
Nokia OVI BelgiumNokia OVI Belgium
Nokia OVI BelgiumMobile Monday Brussels
246 views9 slides
The Appification of Web Commerce by
The Appification of Web CommerceThe Appification of Web Commerce
The Appification of Web CommerceSkava
895 views12 slides
Adam Kornacki: Elektronika czy mechanika? Z czego korzystamy częściej podczas... by
Adam Kornacki: Elektronika czy mechanika? Z czego korzystamy częściej podczas...Adam Kornacki: Elektronika czy mechanika? Z czego korzystamy częściej podczas...
Adam Kornacki: Elektronika czy mechanika? Z czego korzystamy częściej podczas...Mobile Trends
773 views19 slides
Sławomir Sochaj: Ekosystemy mobilne, ich przyszłość i zależności między nimi. by
Sławomir Sochaj: Ekosystemy mobilne, ich przyszłość i zależności między nimi.Sławomir Sochaj: Ekosystemy mobilne, ich przyszłość i zależności między nimi.
Sławomir Sochaj: Ekosystemy mobilne, ich przyszłość i zależności między nimi.Mobile Trends
552 views27 slides
Łukasz Kuc: Sukces w polskim mobile (na przykładzie IKO) by
Łukasz Kuc: Sukces w polskim mobile (na przykładzie IKO)Łukasz Kuc: Sukces w polskim mobile (na przykładzie IKO)
Łukasz Kuc: Sukces w polskim mobile (na przykładzie IKO)Mobile Trends
745 views16 slides
Michał Giera: Davy Jones i jego smartfon, czyli piractwo na rynku mobile. by
Michał Giera: Davy Jones i jego smartfon, czyli piractwo na rynku mobile.Michał Giera: Davy Jones i jego smartfon, czyli piractwo na rynku mobile.
Michał Giera: Davy Jones i jego smartfon, czyli piractwo na rynku mobile.Mobile Trends
566 views40 slides

More Related Content

Similar to Paweł Jakub Dawidek: Zarządzanie danymi wrażliwymi w aplikacjach - analiza bezpieczeństwa platform mobilnych.

Security Best Practices for Mobile Development by
Security Best Practices for Mobile DevelopmentSecurity Best Practices for Mobile Development
Security Best Practices for Mobile DevelopmentSalesforce Developers
788 views53 slides
Nano S O A by
Nano S O ANano S O A
Nano S O Adiongillard
928 views38 slides
Canopy SF Home Automation Meetup Slides 10/14/2014 by
Canopy SF Home Automation Meetup Slides 10/14/2014Canopy SF Home Automation Meetup Slides 10/14/2014
Canopy SF Home Automation Meetup Slides 10/14/2014gregulator
925 views25 slides
From Tangled Mess to Organized Flow: A Mobile DevSecOps Reference Architecture by
From Tangled Mess to Organized Flow: A Mobile DevSecOps Reference ArchitectureFrom Tangled Mess to Organized Flow: A Mobile DevSecOps Reference Architecture
From Tangled Mess to Organized Flow: A Mobile DevSecOps Reference ArchitectureNowSecure
590 views26 slides
What is Codename One - Transcript.pdf by
What is Codename One - Transcript.pdfWhat is Codename One - Transcript.pdf
What is Codename One - Transcript.pdfShaiAlmog1
905 views13 slides
Wolters Kluwer Tech. Conference: Disrupting Mobile Development by
Wolters Kluwer Tech. Conference: Disrupting Mobile DevelopmentWolters Kluwer Tech. Conference: Disrupting Mobile Development
Wolters Kluwer Tech. Conference: Disrupting Mobile DevelopmentMax Katz
831 views14 slides

Similar to Paweł Jakub Dawidek: Zarządzanie danymi wrażliwymi w aplikacjach - analiza bezpieczeństwa platform mobilnych.(20)

Security Best Practices for Mobile Development by Salesforce Developers
Security Best Practices for Mobile DevelopmentSecurity Best Practices for Mobile Development
Security Best Practices for Mobile Development
Salesforce Developers788 views
Nano S O A by diongillard
Nano S O ANano S O A
Nano S O A
diongillard928 views
Canopy SF Home Automation Meetup Slides 10/14/2014 by gregulator
Canopy SF Home Automation Meetup Slides 10/14/2014Canopy SF Home Automation Meetup Slides 10/14/2014
Canopy SF Home Automation Meetup Slides 10/14/2014
gregulator925 views
From Tangled Mess to Organized Flow: A Mobile DevSecOps Reference Architecture by NowSecure
From Tangled Mess to Organized Flow: A Mobile DevSecOps Reference ArchitectureFrom Tangled Mess to Organized Flow: A Mobile DevSecOps Reference Architecture
From Tangled Mess to Organized Flow: A Mobile DevSecOps Reference Architecture
NowSecure590 views
What is Codename One - Transcript.pdf by ShaiAlmog1
What is Codename One - Transcript.pdfWhat is Codename One - Transcript.pdf
What is Codename One - Transcript.pdf
ShaiAlmog1905 views
Wolters Kluwer Tech. Conference: Disrupting Mobile Development by Max Katz
Wolters Kluwer Tech. Conference: Disrupting Mobile DevelopmentWolters Kluwer Tech. Conference: Disrupting Mobile Development
Wolters Kluwer Tech. Conference: Disrupting Mobile Development
Max Katz831 views
We don’t panic. by WJN
We don’t panic.We don’t panic.
We don’t panic.
WJN44 views
Srs of skype by Anuj Singh
Srs of skypeSrs of skype
Srs of skype
Anuj Singh3.1K views
Fixing security by fixing software development by Nick Galbreath
Fixing security by fixing software developmentFixing security by fixing software development
Fixing security by fixing software development
Nick Galbreath5.7K views
Global IoT Cloud Services Survey-Aug-20160527 by August Lin
Global IoT Cloud Services Survey-Aug-20160527Global IoT Cloud Services Survey-Aug-20160527
Global IoT Cloud Services Survey-Aug-20160527
August Lin354 views
Con8902 developing secure mobile applications-final by OracleIDM
Con8902 developing secure mobile applications-finalCon8902 developing secure mobile applications-final
Con8902 developing secure mobile applications-final
OracleIDM794 views
Securing and Scaling SaaS by guest05bda0
Securing and Scaling SaaSSecuring and Scaling SaaS
Securing and Scaling SaaS
guest05bda0587 views
SOTP_Introduction by Johnson Wu
SOTP_IntroductionSOTP_Introduction
SOTP_Introduction
Johnson Wu255 views
[Rakuten TechConf2014] [Fukuoka] Case Study of Financial Web Systems Developm... by Rakuten Group, Inc.
[Rakuten TechConf2014] [Fukuoka] Case Study of Financial Web Systems Developm...[Rakuten TechConf2014] [Fukuoka] Case Study of Financial Web Systems Developm...
[Rakuten TechConf2014] [Fukuoka] Case Study of Financial Web Systems Developm...
Rakuten Group, Inc.2.6K views
Faster Secure Software Development with Continuous Deployment - PH Days 2013 by Nick Galbreath
Faster Secure Software Development with Continuous Deployment - PH Days 2013Faster Secure Software Development with Continuous Deployment - PH Days 2013
Faster Secure Software Development with Continuous Deployment - PH Days 2013
Nick Galbreath1.5K views
How Oracle Mobile Cloud and Oracle MAF can Acccelerate Mobile Application Dev... by RapidValue
How Oracle Mobile Cloud and Oracle MAF can Acccelerate Mobile Application Dev...How Oracle Mobile Cloud and Oracle MAF can Acccelerate Mobile Application Dev...
How Oracle Mobile Cloud and Oracle MAF can Acccelerate Mobile Application Dev...
RapidValue974 views
Top 10 Security Concerns of Windows Mobile (and how to Overcome them) by jasonlan
Top 10 Security Concerns of Windows Mobile (and how to Overcome them)Top 10 Security Concerns of Windows Mobile (and how to Overcome them)
Top 10 Security Concerns of Windows Mobile (and how to Overcome them)
jasonlan4.9K views
Mobile Store by Yasmin Jass
Mobile StoreMobile Store
Mobile Store
Yasmin Jass3.3K views
How Oracle MAF & Oracle Mobile Cloud can Accelerate Mobile App Development - ... by RapidValue
How Oracle MAF & Oracle Mobile Cloud can Accelerate Mobile App Development - ...How Oracle MAF & Oracle Mobile Cloud can Accelerate Mobile App Development - ...
How Oracle MAF & Oracle Mobile Cloud can Accelerate Mobile App Development - ...
RapidValue78 views
02 BlackBerry Application Development by Arief Gunawan
02 BlackBerry Application Development02 BlackBerry Application Development
02 BlackBerry Application Development
Arief Gunawan1.3K views

More from Mobile Trends

#MTC2019: Ludzka twarz bankowości - zastosowanie asystentów głosowych w sekto... by
#MTC2019: Ludzka twarz bankowości - zastosowanie asystentów głosowych w sekto...#MTC2019: Ludzka twarz bankowości - zastosowanie asystentów głosowych w sekto...
#MTC2019: Ludzka twarz bankowości - zastosowanie asystentów głosowych w sekto...Mobile Trends
192 views25 slides
#MTC2019: Dobrze zaprojektowane ubezpieczenie dla rodzin. Case study Link4 ma... by
#MTC2019: Dobrze zaprojektowane ubezpieczenie dla rodzin. Case study Link4 ma...#MTC2019: Dobrze zaprojektowane ubezpieczenie dla rodzin. Case study Link4 ma...
#MTC2019: Dobrze zaprojektowane ubezpieczenie dla rodzin. Case study Link4 ma...Mobile Trends
140 views16 slides
#MTC2019: Podróżowanie w prostej taryfie i bez zbędnego bagażu. Case study z ... by
#MTC2019: Podróżowanie w prostej taryfie i bez zbędnego bagażu. Case study z ...#MTC2019: Podróżowanie w prostej taryfie i bez zbędnego bagażu. Case study z ...
#MTC2019: Podróżowanie w prostej taryfie i bez zbędnego bagażu. Case study z ...Mobile Trends
76 views9 slides
#MTC2019: MEMerytura - czyli jak komunikować potrzebę oszczędzania osobom żyj... by
#MTC2019: MEMerytura - czyli jak komunikować potrzebę oszczędzania osobom żyj...#MTC2019: MEMerytura - czyli jak komunikować potrzebę oszczędzania osobom żyj...
#MTC2019: MEMerytura - czyli jak komunikować potrzebę oszczędzania osobom żyj...Mobile Trends
107 views40 slides
#MTC2019: Design system - jak pomaga bankom? - Piotr Dziadowicz (EDISONDA) by
#MTC2019: Design system - jak pomaga bankom? - Piotr Dziadowicz (EDISONDA)#MTC2019: Design system - jak pomaga bankom? - Piotr Dziadowicz (EDISONDA)
#MTC2019: Design system - jak pomaga bankom? - Piotr Dziadowicz (EDISONDA)Mobile Trends
311 views63 slides
#MTC2019: Czy bank może zrozumieć e-commerce? - Jadwiga Kijak (Mobee Dick) by
#MTC2019: Czy bank może zrozumieć e-commerce? - Jadwiga Kijak (Mobee Dick)#MTC2019: Czy bank może zrozumieć e-commerce? - Jadwiga Kijak (Mobee Dick)
#MTC2019: Czy bank może zrozumieć e-commerce? - Jadwiga Kijak (Mobee Dick)Mobile Trends
130 views24 slides

More from Mobile Trends(20)

#MTC2019: Ludzka twarz bankowości - zastosowanie asystentów głosowych w sekto... by Mobile Trends
#MTC2019: Ludzka twarz bankowości - zastosowanie asystentów głosowych w sekto...#MTC2019: Ludzka twarz bankowości - zastosowanie asystentów głosowych w sekto...
#MTC2019: Ludzka twarz bankowości - zastosowanie asystentów głosowych w sekto...
Mobile Trends192 views
#MTC2019: Dobrze zaprojektowane ubezpieczenie dla rodzin. Case study Link4 ma... by Mobile Trends
#MTC2019: Dobrze zaprojektowane ubezpieczenie dla rodzin. Case study Link4 ma...#MTC2019: Dobrze zaprojektowane ubezpieczenie dla rodzin. Case study Link4 ma...
#MTC2019: Dobrze zaprojektowane ubezpieczenie dla rodzin. Case study Link4 ma...
Mobile Trends140 views
#MTC2019: Podróżowanie w prostej taryfie i bez zbędnego bagażu. Case study z ... by Mobile Trends
#MTC2019: Podróżowanie w prostej taryfie i bez zbędnego bagażu. Case study z ...#MTC2019: Podróżowanie w prostej taryfie i bez zbędnego bagażu. Case study z ...
#MTC2019: Podróżowanie w prostej taryfie i bez zbędnego bagażu. Case study z ...
Mobile Trends76 views
#MTC2019: MEMerytura - czyli jak komunikować potrzebę oszczędzania osobom żyj... by Mobile Trends
#MTC2019: MEMerytura - czyli jak komunikować potrzebę oszczędzania osobom żyj...#MTC2019: MEMerytura - czyli jak komunikować potrzebę oszczędzania osobom żyj...
#MTC2019: MEMerytura - czyli jak komunikować potrzebę oszczędzania osobom żyj...
Mobile Trends107 views
#MTC2019: Design system - jak pomaga bankom? - Piotr Dziadowicz (EDISONDA) by Mobile Trends
#MTC2019: Design system - jak pomaga bankom? - Piotr Dziadowicz (EDISONDA)#MTC2019: Design system - jak pomaga bankom? - Piotr Dziadowicz (EDISONDA)
#MTC2019: Design system - jak pomaga bankom? - Piotr Dziadowicz (EDISONDA)
Mobile Trends311 views
#MTC2019: Czy bank może zrozumieć e-commerce? - Jadwiga Kijak (Mobee Dick) by Mobile Trends
#MTC2019: Czy bank może zrozumieć e-commerce? - Jadwiga Kijak (Mobee Dick)#MTC2019: Czy bank może zrozumieć e-commerce? - Jadwiga Kijak (Mobee Dick)
#MTC2019: Czy bank może zrozumieć e-commerce? - Jadwiga Kijak (Mobee Dick)
Mobile Trends130 views
#MTC2019: Ewolucja mobilnej bankowości ING - jak podejmować decyzje biznesowe... by Mobile Trends
#MTC2019: Ewolucja mobilnej bankowości ING - jak podejmować decyzje biznesowe...#MTC2019: Ewolucja mobilnej bankowości ING - jak podejmować decyzje biznesowe...
#MTC2019: Ewolucja mobilnej bankowości ING - jak podejmować decyzje biznesowe...
Mobile Trends312 views
#MTC2019: Dlaczego młodzi nie skorzystają z Twojej aplikacji? Nie, to nie jes... by Mobile Trends
#MTC2019: Dlaczego młodzi nie skorzystają z Twojej aplikacji? Nie, to nie jes...#MTC2019: Dlaczego młodzi nie skorzystają z Twojej aplikacji? Nie, to nie jes...
#MTC2019: Dlaczego młodzi nie skorzystają z Twojej aplikacji? Nie, to nie jes...
Mobile Trends93 views
#MTC2019: Autopay w Banku Millennium - czy aplikacje bankowe staną się wkrótc... by Mobile Trends
#MTC2019: Autopay w Banku Millennium - czy aplikacje bankowe staną się wkrótc...#MTC2019: Autopay w Banku Millennium - czy aplikacje bankowe staną się wkrótc...
#MTC2019: Autopay w Banku Millennium - czy aplikacje bankowe staną się wkrótc...
Mobile Trends76 views
#MTC2019: Jasnopisanie w bankowości - rzecz o tym jak być zrozumiałym - Włodz... by Mobile Trends
#MTC2019: Jasnopisanie w bankowości - rzecz o tym jak być zrozumiałym - Włodz...#MTC2019: Jasnopisanie w bankowości - rzecz o tym jak być zrozumiałym - Włodz...
#MTC2019: Jasnopisanie w bankowości - rzecz o tym jak być zrozumiałym - Włodz...
Mobile Trends118 views
#MTC2019: Bank w kieszeni - jak startupy i technologia okradają sektor finans... by Mobile Trends
#MTC2019: Bank w kieszeni - jak startupy i technologia okradają sektor finans...#MTC2019: Bank w kieszeni - jak startupy i technologia okradają sektor finans...
#MTC2019: Bank w kieszeni - jak startupy i technologia okradają sektor finans...
Mobile Trends100 views
#MTC2019: Wyścig zbrojeń PSD2 – krótka historia tego, jak świat walczy o Twoj... by Mobile Trends
#MTC2019: Wyścig zbrojeń PSD2 – krótka historia tego, jak świat walczy o Twoj...#MTC2019: Wyścig zbrojeń PSD2 – krótka historia tego, jak świat walczy o Twoj...
#MTC2019: Wyścig zbrojeń PSD2 – krótka historia tego, jak świat walczy o Twoj...
Mobile Trends58 views
#MTC2019: Otwarta bankowość, VAS-y - trendy rynkowe vs oczekiwania klientów -... by Mobile Trends
#MTC2019: Otwarta bankowość, VAS-y - trendy rynkowe vs oczekiwania klientów -...#MTC2019: Otwarta bankowość, VAS-y - trendy rynkowe vs oczekiwania klientów -...
#MTC2019: Otwarta bankowość, VAS-y - trendy rynkowe vs oczekiwania klientów -...
Mobile Trends1.7K views
#MTC2019: Co ma apka do kurczaka - Marek Michalski (Grupa WM) by Mobile Trends
#MTC2019: Co ma apka do kurczaka - Marek Michalski (Grupa WM)#MTC2019: Co ma apka do kurczaka - Marek Michalski (Grupa WM)
#MTC2019: Co ma apka do kurczaka - Marek Michalski (Grupa WM)
Mobile Trends198 views
#MTC2019: Jak połączyć wymagania biznesowe i wymagania użytkowników końcowych... by Mobile Trends
#MTC2019: Jak połączyć wymagania biznesowe i wymagania użytkowników końcowych...#MTC2019: Jak połączyć wymagania biznesowe i wymagania użytkowników końcowych...
#MTC2019: Jak połączyć wymagania biznesowe i wymagania użytkowników końcowych...
Mobile Trends121 views
#MTC2019: Nie tylko smartfon: nowe przykłady użycia dla Androida - Nadia Ait ... by Mobile Trends
#MTC2019: Nie tylko smartfon: nowe przykłady użycia dla Androida - Nadia Ait ...#MTC2019: Nie tylko smartfon: nowe przykłady użycia dla Androida - Nadia Ait ...
#MTC2019: Nie tylko smartfon: nowe przykłady użycia dla Androida - Nadia Ait ...
Mobile Trends148 views
#MTC2019: Voice Commerce - kiedy użytkownicy i ecommerce będą gotowi na głoso... by Mobile Trends
#MTC2019: Voice Commerce - kiedy użytkownicy i ecommerce będą gotowi na głoso...#MTC2019: Voice Commerce - kiedy użytkownicy i ecommerce będą gotowi na głoso...
#MTC2019: Voice Commerce - kiedy użytkownicy i ecommerce będą gotowi na głoso...
Mobile Trends143 views
#MTC2019: Dialog z klientem w Erze Asystentów - Michal Dlugosz (Google) by Mobile Trends
#MTC2019: Dialog z klientem w Erze Asystentów - Michal Dlugosz (Google)#MTC2019: Dialog z klientem w Erze Asystentów - Michal Dlugosz (Google)
#MTC2019: Dialog z klientem w Erze Asystentów - Michal Dlugosz (Google)
Mobile Trends143 views
#MTC2019: Mobile (jeszcze bardziej) first! PWA jako wyzwanie UX - Filip Makow... by Mobile Trends
#MTC2019: Mobile (jeszcze bardziej) first! PWA jako wyzwanie UX - Filip Makow...#MTC2019: Mobile (jeszcze bardziej) first! PWA jako wyzwanie UX - Filip Makow...
#MTC2019: Mobile (jeszcze bardziej) first! PWA jako wyzwanie UX - Filip Makow...
Mobile Trends178 views
#MTC2019: Jak wykorzystać zmianę marki do wytyczenia nowego kierunku w rozwoj... by Mobile Trends
#MTC2019: Jak wykorzystać zmianę marki do wytyczenia nowego kierunku w rozwoj...#MTC2019: Jak wykorzystać zmianę marki do wytyczenia nowego kierunku w rozwoj...
#MTC2019: Jak wykorzystać zmianę marki do wytyczenia nowego kierunku w rozwoj...
Mobile Trends220 views

Paweł Jakub Dawidek: Zarządzanie danymi wrażliwymi w aplikacjach - analiza bezpieczeństwa platform mobilnych.

  • 1. Managing sensitive data in mobile applications Paweł Jakub Dawidek CTO <p.dawidek@mobter.com>
  • 2. a bit of history
  • 3. in 2004 we start a company (Wheel Systems) after 12 years... mission not yet fully accomplished, but really soon now in 2005 we deploy CERB (corporate version) for the first time our mission: eliminate static passwords! our product: authentication system (CERB) which uses mobile application as one-time password generator it is 2004, so the name for the app is obvious: JavaToken in 2007 we deploy CERB Banking in Eurobank in 2013 we launch Mobter
  • 4. JavaToken Can run on (almost) any Java phone Implements AES, SHA256 Fits easily into 30kB limit
  • 6. no SSL/TLS (no secure transport) no AppStore, no Google Play no applications signing no secure updates internet communication only during installation no PIN to unlock your phone, no TouchID, etc. not enough power to harden PIN no full disk encryption 30kB application size limit
  • 8. .jar contains a secret encrypted using activation code application built-in secret dedicated .jar for every customer activation code provided in bank outpost unpredictable URL send via WAP-Push or SMS (no access for bank’s employees) start identifier challenge compression (9 digits) no local PIN verification (a playing card hint, 6.25%, 625)
  • 10. desktop OS vs. mobile OS
  • 11. application isolation much more secure installation process mobile OSes designed for single user separation between applications autonomous platform (problem when compromised) native apps allow for better security than web sites (eg. certificate pinning)
  • 14. much harder and longer to update for security fixes Android customized by hardware vendors and mobile operators much slower adoption for new security features various security features not available for all hardware vendors