Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Мобильная «безопасность»

702 views

Published on

Мобильная «безопасность»

Published in: Technology
  • Be the first to comment

Мобильная «безопасность»

  1. 1. Мобильная «безопасность» Ярослав Александров, Ленар Сафин к.ф.-м.н. Катерина Трошина, к.ф.-м.н. Александр Чернов PHDays V, 26 мая 2015
  2. 2. Introduction
  3. 3. Android: market share
  4. 4. Анализ приложений 50 приложений: банки, почта, билеты
  5. 5. Методика анализа • Декомпиляция (apk → java) • Автоматический статический анализ • Экспертный статический анализ • Экспертный динамический анализ – Соединения – Файловая система, логи – Система авторизации
  6. 6. Инструмент: inCode Анализ вручную Инструментальное средство: inCode
  7. 7. Бинарный анализ
  8. 8. Статический анализ • Поиск по шаблонам • Анализ графа потока управления • Анализ потока данных: – Компиляторы (alias, DU&UD, межпроцедурный, …) – taint-анализ, интервальный, строковый
  9. 9. Уязвимости • M3, M4: Передача данных (http, weak SSL) • M2, M4: Хранение данных (home dir, SD)
  10. 10. Уязвимости • Небезопасное межпроцессное взаимодействие – Service – Activity – Intent – ContentProvider – BroadcastReceiver
  11. 11. Уязвимости • M6: Небезопасная криптография (MD4, MD5, DES/3DES, ECB-mode, …) • M7, M8: Недостаточная проверка и обработка входных данных
  12. 12. Демо Приложение (Google Play) Статический анализ для поиска уязвимостей Уязвимость: SSL Эксплоит (Fiddler)
  13. 13. Заключение • Исследование приложений • inCode: бинарный анализ Android Спасибо за внимание! info@smartdec.ru alexandrov@smartdec.ru smartdec.ru

×