Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Мобильная «безопасность»
Ярослав Александров, Ленар Сафин
к.ф.-м.н. Катерина Трошина, к.ф.-м.н. Александр Чернов
PHDays V,...
Introduction
Android: market share
Анализ приложений
50 приложений: банки, почта, билеты
Методика анализа
• Декомпиляция (apk → java)
• Автоматический статический анализ
• Экспертный статический анализ
• Эксперт...
Статический анализ
• Поиск по шаблонам
• Анализ графа потока управления
• Анализ потока данных:
– Компиляторы (alias, DU&U...
Уязвимости
• M3, M4: Передача данных
(http, weak SSL)
• M2, M4: Хранение данных
(home dir, SD)
Уязвимости
• Небезопасное межпроцессное
взаимодействие
– Service
– Activity
– Intent
– ContentProvider
– BroadcastReceiver
Уязвимости
• M6: Небезопасная
криптография (MD4, MD5,
DES/3DES, ECB-mode, …)
• M7, M8: Недостаточная
проверка и обработка ...
Заключение
• Исследование приложений
• Бинарный анализ Android
Спасибо за внимание!
info@smartdec.ru
alexandrov@smartdec.r...
Upcoming SlideShare
Loading in …5
×

Мобильная "безопасность"

482 views

Published on

Vulnerabilities in mobile applications.
Methods of mobile applications analysis.

Уязвимости в мобильных приложениях.
Методы анализа мобильных приложений.

Published in: Software
  • Be the first to comment

  • Be the first to like this

Мобильная "безопасность"

  1. 1. Мобильная «безопасность» Ярослав Александров, Ленар Сафин к.ф.-м.н. Катерина Трошина, к.ф.-м.н. Александр Чернов PHDays V, 26 мая 2015
  2. 2. Introduction
  3. 3. Android: market share
  4. 4. Анализ приложений 50 приложений: банки, почта, билеты
  5. 5. Методика анализа • Декомпиляция (apk → java) • Автоматический статический анализ • Экспертный статический анализ • Экспертный динамический анализ – Соединения – Файловая система, логи – Система авторизации
  6. 6. Статический анализ • Поиск по шаблонам • Анализ графа потока управления • Анализ потока данных: – Компиляторы (alias, DU&UD, межпроцедурный, …) – taint-анализ, интервальный, строковый
  7. 7. Уязвимости • M3, M4: Передача данных (http, weak SSL) • M2, M4: Хранение данных (home dir, SD)
  8. 8. Уязвимости • Небезопасное межпроцессное взаимодействие – Service – Activity – Intent – ContentProvider – BroadcastReceiver
  9. 9. Уязвимости • M6: Небезопасная криптография (MD4, MD5, DES/3DES, ECB-mode, …) • M7, M8: Недостаточная проверка и обработка входных данных
  10. 10. Заключение • Исследование приложений • Бинарный анализ Android Спасибо за внимание! info@smartdec.ru alexandrov@smartdec.ru smartdec.ru

×