More Related Content Similar to 20140610 net tuesday - 行動裝置安全 Similar to 20140610 net tuesday - 行動裝置安全 (20) More from Net Tuesday Taiwan More from Net Tuesday Taiwan (20) 20140610 net tuesday - 行動裝置安全2. Who Am I
翁浩正 (Allen Own)
allenown@devco.re
DEVCORE 戴夫寇爾 執行長
!
HITCON 台灣駭客年會副總召
CHROOT 成員
NISRA 資安團隊創辦人
資安技能金盾獎競賽100年冠軍
22. iPhone
• 2007 年 Apple 發展智慧
型手機的新時代
!
• 流暢的使用者使用體驗
• 著重多媒體與系統整合
• 結合網路應用
29. Google Play
•Google 提供 Market 供使用者下載、購買應用程
式。後稱 Google Play。
•台灣 2010 年開放購買軟體
•軟體數量突破 100 萬個 (2013 年 7 月),累積下
載量 50,000,000,000
37. 市場消息
•Android 超越 RIM 成為美國第一大行動平台
•http://www.comscore.com/Press_Events/
Press_Releases/2011/4/
comScore_Reports_February_2011_U.S._Mobile_Sub
scriber_Market_Share/(language)/eng-US
64. 行動裝置真的安全嗎
•行動惡意程式 App 數量,正式突破 200 萬! 半
年內數字翻倍,成長速度驚人
» http://iservice.libertytimes.com.tw/3c/news.php?no=12190&type=5
» 這是假的!廣告訊息告知手機用戶已中毒 催促下
載防毒 App
» http://news.networkmagazine.com.tw/classification/security/
2013/12/26/62134/
» PChome 相簿上鎖無用 手機瀏覽看光光
» http://www.appledaily.com.tw/realtimenews/article/new/
20140210/341223/
67. 行動裝置真的安全嗎
•行動上網人口已逾 4 成 資安因素阻礙網路購物、
網路金融
» http://www.informationsecurity.com.tw/article/article_detail.aspx?
tv=71&aid=7649
•台行動上網遭駭 恐列全球前 5
» http://udn.com/NEWS/BREAKINGNEWS/
BREAKINGNEWS6/8528942.shtmL
» HP:90% 的 Apple iOS 行動應用程式有安全漏洞
» http://news.networkmagazine.com.tw/classification/security/
2013/11/19/60303/
69. 2013 年 19.04% Android
惡意程式竊取個人資料
http://blog.trendmicro.com/trendlabs-security-intelligence/looking-forward-into-2014-what-2013s-mobile-threats-mean-moving-forward/
70. 90% 的 Apple iOS 行動應
用程式有安全漏洞
•惠普(HP)今天表示,在針對超過2,000件專為商務
應用而開發,且被50國約600家大型企業所使用
之iOS行動應用程式的安全測試中發現,有9/10的
應用程式存在重大安全漏洞。
http://news.networkmagazine.com.tw/classification/security/2013/11/19/60303/
71. 90% 的 Apple iOS 行動應
用程式有安全漏洞
•HP指出這些應用程式中,有97%的軟體會存取裝
置中的私人資訊來源,同時有86%的比例,證實
有招致資料隱碼(SQL Injection)等攻擊風險的安全
漏洞。
•在該測試總結中,HP指出,86%的受測應用程式,
缺乏保護自己免受諸如加密資料的誤用、跨站腳
本攻擊(Cross-Site Scripting, XSS)及不安全的資料
傳輸等常見漏洞攻擊的安全措施。
http://news.networkmagazine.com.tw/classification/security/2013/11/19/60303/
85. Kernel 層級漏洞
•CVE-2012-0056 gain privileges by
modify process memory (/proc/pid/mem)
•CVE-2013-2094 gain privileges via a
crafted perf_event_open system call
•CVE-2013-1773 gain privileges or
cause a denial of service (system crash)
via buffer overflow in the VFAT
89. Android Master Key Debacle
ref: http://nakedsecurity.sophos.com/2013/07/10/anatomy-of-a-security-hole-googles-android-master-key-debacle-explained/
94. Insecure Data Storage
•手機 App 在存放資料時,沒有設定好完整安全的權限。可
能導致惡意程式竊取 App 的資料,例如帳號、密碼、對話
記錄、簡訊等機敏資料。
•存放方式如
» Shared Preferences
» File
» Database
» Content Provider
» External Storage (ex. SDCard)
96. # ls -l /data/data/com.skype.merlin_mecha/files/shared.xml
-rw-rw-rw- app_152 app_152 56136 2011-04-13 00:07 shared.xml
# grep Default /data/data/com.skype.merlin_mecha/files/shared.xml
<Default>jcaseap</Default>
!
# ls -l /data/data/com.skype.merlin_mecha/files/jcaseap
-rw-rw-rw- app_152 app_152 331776 2011-04-13 00:08 main.db
-rw-rw-rw- app_152 app_152 119528 2011-04-13 00:08 main.db-journal
-rw-rw-rw- app_152 app_152 40960 2011-04-11 14:05 keyval.db
-rw-rw-rw- app_152 app_152 3522 2011-04-12 23:39 config.xml
drwxrwxrwx app_152 app_152 2011-04-11 14:05 voicemail
-rw-rw-rw- app_152 app_152 0 2011-04-11 14:05 config.lck
-rw-rw-rw- app_152 app_152 61440 2011-04-13 00:08 bistats.db
drwxrwxrwx app_152 app_152 2011-04-12 21:49 chatsync
-rw-rw-rw- app_152 app_152 12824 2011-04-11 14:05 keyval.db-journal
-rw-rw-rw- app_152 app_152 33344 2011-04-13 00:08 bistats.db-journal