SlideShare a Scribd company logo

Android'de Parmak Kaldırmadan Konuşmak - Oğuzhan Topgül #SiberGuvenlikKonferansi 14.05.14

Siber Güvenlik Derneği
Siber Güvenlik Derneği

Siber Güvenlik Konferansı'14 etkinliğinde Oğuzhan Topgül tarafından gerçekleştirilen sunum dosyasıdır.

Technology
1 of 15
Download to read offline
Android’de Parmak Kaldırmadan Konuşmak #SiberGüvenlikKonferansı’14 ! @OguzhanTopgul
# whoami OğuzhanTopgül Uzman Araştırmacı @Siber Güvenlik Enstitüsü • Mobil Güvenlik • Mobil Zaralı Yazılımlar • Web Güvenliği OWASP-Türkiye - webguvenligi.org BGK - bilgiguvenligi.gov.tr Blog - oguzhantopgul.com
Android İzin Modeli • Korunan kaynaklara erişim OS üzerinden olur. • Korunan kaynaklara erişim için izin talep edilmelidir. • İzinler toplu olarak verilir ve geri alınamaz. • Uygulama kaldırıldığında verilen tüm izinler kaldırılır.
AndroidManifest.XML
Android İzin Seviyeleri • Normal: Kullanıcıya ciddi bir zarar vermeyecek izinler.(duvar kağıdı değiştirmek vb.) Kullanıcı onayı alınmaz. • Dangerous: Kullanıcıya zarar verebilecek izinler. Maddi karşılığı olabilecek izinler (SMS, telefon, internet). Kullanıcı onayı gerekir • Signature: Aynı geliştirici sertifikasıyla imzalanmış uygulamalarda kullanıcıya sorulmadan otomatik olarak izinler verilir. • Signature/System: Signature seviyesi ile aynı. Android system imajı içerisindeki uygulamalara ait haklar için de kullanıcı onayı alınmamasını sağlar.
Android Uygulama Komponentleri • Activity: Uygulamanın her bir ekranı • Service: Arka planda (uzun süreli) çalışan uygulamalar. Kullanıcı arayüzü yoktur. • Broadcast Receiver: Sistem geneli broadcast’leri yakalayan ve aksiyon gösteren komponent. • Content Provider: Uygulama verilerinin paylaşılmasını ve erişilebilir olmasını sağlayan komponent.
Android İzin Tanımlama • Android KitKat 4.4 - API Level 19: 145 izin bulunuyor.* • Uygulamaya ait komponent izin tanımlanarak korunabilir. * http://developer.android.com/reference/android/Manifest.permission.html
Android Contacts/People
Servisler ve Saldırı Vektörü #1 = Masum Uygulama = <uses-permission "READ_CONTACTS" /> <uses-permission "INTERNET" /> ! <service “BGService" /> ! ! = Zararlı Uygulama = ! ! ! ! İzin Kullanmıyor ! ! ! ! servis çağrısı
Servisler ve Saldırı Vektörü #2 = Uygulama 1 = <uses-permission "READ_CONTACTS" /> ! ! <service “BGService" /> ! ! = Uygulama 2 = ! ! <uses-permission "INTERNET" /> ! Result Receiver ! ! ! servis çağrısı Telefon Rehberi
Servisler ve Saldırı Vektörü #3 = Masum Uygulama = <uses-permission "READ_CONTACTS" /> ! ! <service “BGService" /> ! ! = Zararlı Uygulama = ! ! Result Receiver ! Implicit Web Browser Intent ! ! servis çağrısı Telefon Rehberi
PoC
Ekranın Kapandığını Algılama
Korumasız Servisler • Android Power Widget • GPS Service
? Teşekkürler… OWASP Türkiye Sponsorlarımız

Recommended

Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14
Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14
Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...
Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...
Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...Siber Güvenlik Derneği
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Cihan Özhan
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıAhmet Gürel
 
Şifre Güvenliği ve AuthPoint MFA
Şifre Güvenliği ve AuthPoint MFA Şifre Güvenliği ve AuthPoint MFA
Şifre Güvenliği ve AuthPoint MFA Özden Aydın
 
Android Zararlı Yazılım Analizi
Android Zararlı Yazılım AnaliziAndroid Zararlı Yazılım Analizi
Android Zararlı Yazılım AnaliziBGA Cyber Security
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATÇağrı Polat
 
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxBilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxmemrah2955
 

Recommended

Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14
Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14
Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...
Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...
Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...Siber Güvenlik Derneği
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Cihan Özhan
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıAhmet Gürel
 
Şifre Güvenliği ve AuthPoint MFA
Şifre Güvenliği ve AuthPoint MFA Şifre Güvenliği ve AuthPoint MFA
Şifre Güvenliği ve AuthPoint MFA Özden Aydın
 
Android Zararlı Yazılım Analizi
Android Zararlı Yazılım AnaliziAndroid Zararlı Yazılım Analizi
Android Zararlı Yazılım AnaliziBGA Cyber Security
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATÇağrı Polat
 
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxBilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxmemrah2955
 
Siber Güvenlik Raporu-SGD
Siber Güvenlik Raporu-SGDSiber Güvenlik Raporu-SGD
Siber Güvenlik Raporu-SGDSiber Güvenlik Derneği
 
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...Siber Güvenlik Derneği
 
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...Siber Güvenlik Derneği
 
Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.0...
Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.0...Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.0...
Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.0...Siber Güvenlik Derneği
 
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...Siber Güvenlik Derneği
 
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...Siber Güvenlik Derneği
 
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Uygulama guvenligi gunu - malicious web sites
Uygulama guvenligi gunu - malicious web sitesUygulama guvenligi gunu - malicious web sites
Uygulama guvenligi gunu - malicious web sitesSiber Güvenlik Derneği
 
Uygulama Güvenliği Günü 2012 - Siber Güvenlik Derneği
Uygulama Güvenliği Günü 2012 - Siber Güvenlik DerneğiUygulama Güvenliği Günü 2012 - Siber Güvenlik Derneği
Uygulama Güvenliği Günü 2012 - Siber Güvenlik DerneğiSiber Güvenlik Derneği
 
Siber Güvenlikte Ofansif Yaklaşımlar
Siber Güvenlikte Ofansif YaklaşımlarSiber Güvenlikte Ofansif Yaklaşımlar
Siber Güvenlikte Ofansif YaklaşımlarSiber Güvenlik Derneği
 
SGD Internet Bağımlılığı Raporu
SGD Internet Bağımlılığı RaporuSGD Internet Bağımlılığı Raporu
SGD Internet Bağımlılığı RaporuSiber Güvenlik Derneği
 
Siber Güvenlik Bülteni-2013
Siber Güvenlik Bülteni-2013Siber Güvenlik Bülteni-2013
Siber Güvenlik Bülteni-2013Siber Güvenlik Derneği
 
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Derneği
 
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Derneği
 
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013Siber Güvenlik Derneği
 
Siber Güvenlik Konferansı'14 Tanıtım Sunumu
Siber Güvenlik Konferansı'14 Tanıtım SunumuSiber Güvenlik Konferansı'14 Tanıtım Sunumu
Siber Güvenlik Konferansı'14 Tanıtım SunumuSiber Güvenlik Derneği
 
Siber Güvenlik Konferansı'14 Sponsorluk Sunumu
Siber Güvenlik Konferansı'14 Sponsorluk SunumuSiber Güvenlik Konferansı'14 Sponsorluk Sunumu
Siber Güvenlik Konferansı'14 Sponsorluk SunumuSiber Güvenlik Derneği
 

More Related Content

More from Siber Güvenlik Derneği

Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...Siber Güvenlik Derneği
 
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...Siber Güvenlik Derneği
 
Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.0...
Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.0...Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.0...
Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.0...Siber Güvenlik Derneği
 
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...Siber Güvenlik Derneği
 
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...Siber Güvenlik Derneği
 
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Uygulama guvenligi gunu - malicious web sites
Uygulama guvenligi gunu - malicious web sitesUygulama guvenligi gunu - malicious web sites
Uygulama guvenligi gunu - malicious web sitesSiber Güvenlik Derneği
 
Uygulama Güvenliği Günü 2012 - Siber Güvenlik Derneği
Uygulama Güvenliği Günü 2012 - Siber Güvenlik DerneğiUygulama Güvenliği Günü 2012 - Siber Güvenlik Derneği
Uygulama Güvenliği Günü 2012 - Siber Güvenlik DerneğiSiber Güvenlik Derneği
 
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Derneği
 
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Derneği
 
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013Siber Güvenlik Derneği
 
Siber Güvenlik Konferansı'14 Tanıtım Sunumu
Siber Güvenlik Konferansı'14 Tanıtım SunumuSiber Güvenlik Konferansı'14 Tanıtım Sunumu
Siber Güvenlik Konferansı'14 Tanıtım SunumuSiber Güvenlik Derneği
 
Siber Güvenlik Konferansı'14 Sponsorluk Sunumu
Siber Güvenlik Konferansı'14 Sponsorluk SunumuSiber Güvenlik Konferansı'14 Sponsorluk Sunumu
Siber Güvenlik Konferansı'14 Sponsorluk SunumuSiber Güvenlik Derneği
 

More from Siber Güvenlik Derneği (19)

Siber Güvenlik Raporu-SGD
Siber Güvenlik Raporu-SGDSiber Güvenlik Raporu-SGD
Siber Güvenlik Raporu-SGD
 
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
 
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
 
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...
 
Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.0...
Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.0...Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.0...
Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.0...
 
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
 
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...
 
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14
 
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14
 
Uygulama guvenligi gunu - malicious web sites
Uygulama guvenligi gunu - malicious web sitesUygulama guvenligi gunu - malicious web sites
Uygulama guvenligi gunu - malicious web sites
 
Uygulama Güvenliği Günü 2012 - Siber Güvenlik Derneği
Uygulama Güvenliği Günü 2012 - Siber Güvenlik DerneğiUygulama Güvenliği Günü 2012 - Siber Güvenlik Derneği
Uygulama Güvenliği Günü 2012 - Siber Güvenlik Derneği
 
Siber Güvenlikte Ofansif Yaklaşımlar
Siber Güvenlikte Ofansif YaklaşımlarSiber Güvenlikte Ofansif Yaklaşımlar
Siber Güvenlikte Ofansif Yaklaşımlar
 
SGD Internet Bağımlılığı Raporu
SGD Internet Bağımlılığı RaporuSGD Internet Bağımlılığı Raporu
SGD Internet Bağımlılığı Raporu
 
Siber Güvenlik Bülteni-2013
Siber Güvenlik Bülteni-2013Siber Güvenlik Bülteni-2013
Siber Güvenlik Bülteni-2013
 
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
 
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
 
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013
 
Siber Güvenlik Konferansı'14 Tanıtım Sunumu
Siber Güvenlik Konferansı'14 Tanıtım SunumuSiber Güvenlik Konferansı'14 Tanıtım Sunumu
Siber Güvenlik Konferansı'14 Tanıtım Sunumu
 
Siber Güvenlik Konferansı'14 Sponsorluk Sunumu
Siber Güvenlik Konferansı'14 Sponsorluk SunumuSiber Güvenlik Konferansı'14 Sponsorluk Sunumu
Siber Güvenlik Konferansı'14 Sponsorluk Sunumu
 

Android'de Parmak Kaldırmadan Konuşmak - Oğuzhan Topgül #SiberGuvenlikKonferansi 14.05.14

  • 2. # whoami OğuzhanTopgül Uzman Araştırmacı @Siber Güvenlik Enstitüsü • Mobil Güvenlik • Mobil Zaralı Yazılımlar • Web Güvenliği OWASP-Türkiye - webguvenligi.org BGK - bilgiguvenligi.gov.tr Blog - oguzhantopgul.com
  • 3. Android İzin Modeli • Korunan kaynaklara erişim OS üzerinden olur. • Korunan kaynaklara erişim için izin talep edilmelidir. • İzinler toplu olarak verilir ve geri alınamaz. • Uygulama kaldırıldığında verilen tüm izinler kaldırılır.
  • 5. Android İzin Seviyeleri • Normal: Kullanıcıya ciddi bir zarar vermeyecek izinler.(duvar kağıdı değiştirmek vb.) Kullanıcı onayı alınmaz. • Dangerous: Kullanıcıya zarar verebilecek izinler. Maddi karşılığı olabilecek izinler (SMS, telefon, internet). Kullanıcı onayı gerekir • Signature: Aynı geliştirici sertifikasıyla imzalanmış uygulamalarda kullanıcıya sorulmadan otomatik olarak izinler verilir. • Signature/System: Signature seviyesi ile aynı. Android system imajı içerisindeki uygulamalara ait haklar için de kullanıcı onayı alınmamasını sağlar.
  • 6. Android Uygulama Komponentleri • Activity: Uygulamanın her bir ekranı • Service: Arka planda (uzun süreli) çalışan uygulamalar. Kullanıcı arayüzü yoktur. • Broadcast Receiver: Sistem geneli broadcast’leri yakalayan ve aksiyon gösteren komponent. • Content Provider: Uygulama verilerinin paylaşılmasını ve erişilebilir olmasını sağlayan komponent.
  • 7. Android İzin Tanımlama • Android KitKat 4.4 - API Level 19: 145 izin bulunuyor.* • Uygulamaya ait komponent izin tanımlanarak korunabilir. * http://developer.android.com/reference/android/Manifest.permission.html
  • 9. Servisler ve Saldırı Vektörü #1 = Masum Uygulama = <uses-permission "READ_CONTACTS" /> <uses-permission "INTERNET" /> ! <service “BGService" /> ! ! = Zararlı Uygulama = ! ! ! ! İzin Kullanmıyor ! ! ! ! servis çağrısı
  • 10. Servisler ve Saldırı Vektörü #2 = Uygulama 1 = <uses-permission "READ_CONTACTS" /> ! ! <service “BGService" /> ! ! = Uygulama 2 = ! ! <uses-permission "INTERNET" /> ! Result Receiver ! ! ! servis çağrısı Telefon Rehberi
  • 11. Servisler ve Saldırı Vektörü #3 = Masum Uygulama = <uses-permission "READ_CONTACTS" /> ! ! <service “BGService" /> ! ! = Zararlı Uygulama = ! ! Result Receiver ! Implicit Web Browser Intent ! ! servis çağrısı Telefon Rehberi
  • 12. PoC
  • 14. Korumasız Servisler • Android Power Widget • GPS Service