1. 行動裝置安全
戴夫寇爾股份有限公司
翁浩正 (Allen Own)

2. Who Am I
翁浩正 (Allen Own)
allenown@devco.re
DEVCORE 戴夫寇爾 執行長
!
HITCON 台灣駭客年會副總召
CHROOT 成員
NISRA 資安團隊創辦人
資安技能金盾獎競賽100年冠軍

3. 進行政府單位、企業等滲透測試專案
任企業、學術及政府單位講師及顧問
!
資訊安全系統研究及開發
網路安全規劃建置
駭客攻擊手法、駭客追蹤
攻擊程式、後門程式開發與研究
!
EC-Council
Certified Ethical Hacker 講師
Computer Hacking Forensic Investigator

4. 4

5. 什麼是行動裝置？

6. 行動裝置的發展

7. http://www.flickr.com/photos/seychelles88/361496560/

8. Feature Phone
功能型電話
僅有電話功能及簡
單個人記事功能

9. Personal Digital
Assistant (PDA)
個人行事助理
主重個人資訊管理
基本多媒體及網路
功能

12. Smartphone
智慧型手機
整合手機與 PDA
強化應用程式、多
媒體、網路功能

16. 智慧型手機的成長
•智慧型手機是目前手機的趨勢
•行動運算的新時代帶來更多應用
•結合雲端運算給予手機更大的附加價值
•3G 網路技術發達使手機生態改變

17. 智慧型手機的規格
•硬體
•CPU：2GHz、四核心
•GPU：PowerVR /
Adreno
•記憶體：1GB ~ 3GB
•網路
•3G、HSDPA
•WiMax、LTE
•Bluetooth、Wi-Fi
•IR、NFC 感應卡!
•敏感資料
–通話記錄
–簡訊、郵件、即時通訊
–聯絡人、社群網路
–照相機、錄音
–GPS 定位

18. 智慧型手機的規格
•硬體
•CPU：2GHz、四核心
•GPU：PowerVR /
Adreno
•記憶體：1GB ~ 3GB
•網路
•3G、HSDPA
•WiMax、LTE
•Bluetooth、Wi-Fi
•IR、NFC 感應卡!
•敏感資料
–通話記錄
–簡訊、郵件、即時通訊
–聯絡人、社群網路
–照相機、錄音
–GPS 定位
等同⼀一台隨⾝身⼩小型電腦！

19. 智慧型手機作業系統

20. 智慧型手機作業系統
•Apple iOS
•Google Android
•Windows Phone

22. iPhone
• 2007 年 Apple 發展智慧
型手機的新時代
!
• 流暢的使用者使用體驗
• 著重多媒體與系統整合
• 結合網路應用

23. Apple App Store

24. Apple App Store
•App Store 提供各式各樣軟體下載
•導入軟體市場購買機制，使用者選購付費
•軟體數量突破 90 萬大關，累計下載次數
50,000,000,000

25. Android

26. Android
•Google 發展的手機作業系統
•2007 年開始發展，2008 年發表 G1 手機
•2011 年成為全球第一大手機作業系統
!
•與 Google 服務整合度高
•作業系統較為開放

27. 27

28. Google Play

29. Google Play
•Google 提供 Market 供使用者下載、購買應用程
式。後稱 Google Play。
•台灣 2010 年開放購買軟體
•軟體數量突破 100 萬個 (2013 年 7 月)，累積下
載量 50,000,000,000

30. 軟體權限
• 每個程式都有權限控管
• 使用者必須仔細閱讀權限，
以防遭惡意軟體利用

32. Windows Phone

33. Windows Phone 8
•WP8 為微軟發展的全新手機平台
•大量改善舊有 Windows Mobile 系統缺失
•整合 Xbox 以及 Live 服務

34. Windows Phone Store

35. Windows Phone Store
•提供各種應用程式下載
•開發者使用 XAML、C#、VB.NET
!
•軟體數量突破 20 萬個

37. 市場消息
•Android 超越 RIM 成為美國第一大行動平台
•http://www.comscore.com/Press_Events/
Press_Releases/2011/4/
comScore_Reports_February_2011_U.S._Mobile_Sub
scriber_Market_Share/(language)/eng-US

38. 平板系統

39. 平板系統
•Apple iPad
•Google Android
•Microsoft Windows

40. 平板系統
•運算速度更快
•更大尺寸的螢幕
•更強的電力
•給予更多樣化的應用

41. Apple iPad

42. Android

43. Windows

44. 平板系統應用
•個人資訊管理
•電子書
•網路瀏覽
•多媒體應用
•遊戲

45. 個人手機應用

46. 個人手機應用
•Personal Information Management (PIM)
•個人資訊管理
•行事曆
•通訊錄
•代辦事項
•備忘錄

47. http://www.flickr.com/photos/vsy/4996102088/

48. http://www.flickr.com/photos/marypcb/4930362870/

49. http://www.flickr.com/photos/purpleslog/183842413/

50. http://www.flickr.com/photos/dedi/3388471972/

51. http://www.flickr.com/photos/helenzhang/4814946755/

53. 個人手機應用
•個人財務管理
•多媒體及娛樂
•行動網路

54. https://www.mint.com/

56. 實際案例
•馬來西亞2012年將推手機報稅：
DIGICERT有限公司首席執行員拿督諾阿斯里披露，由
明年起，該公司將會推介智慧型手機電子報稅系統，
為納稅人提供更便捷的報稅服務。他表示，這項新繳
稅系統，目前需要6個月的時間試跑，因為需要確定
採用甚麼手機，以及有關手機，是否能存放報稅電子
文件。
• http://www.ithome.com.tw/itadm/article.php?c=66928
• http://www.btimes.com.my/Current_News/BTIMES/articles/digicert/Article/

57. 企業手機應用

58. 組織運用
•專案管理
•業務管理
•人事差勤
•表單簽核

59. 專案管理
•傳統：
•人員必須要現場討論
•無法有效有組織性的討論及記錄
!
•現代：
•網路直接同步所有資料
•所有更新即時記錄
•自動提醒時程及備忘

60. http://www.flickr.com/photos/monacho/3420112384

61. https://basecamp.com/mobile

62. 實際案例
•長春石化採用 iPhone 作為企業內部應用系統的行
動手持裝置
•企業內部的 VoIP 電話
•和桌上分機電話同步共振
•批審電子表單
•電子郵件收發

63. 行動裝置真的安全嗎

64. 行動裝置真的安全嗎
•行動惡意程式 App 數量，正式突破 200 萬！ 半
年內數字翻倍，成長速度驚人
» http://iservice.libertytimes.com.tw/3c/news.php?no=12190&type=5
» 這是假的！廣告訊息告知手機用戶已中毒 催促下
載防毒 App
» http://news.networkmagazine.com.tw/classification/security/
2013/12/26/62134/
» PChome 相簿上鎖無用 手機瀏覽看光光
» http://www.appledaily.com.tw/realtimenews/article/new/
20140210/341223/

67. 行動裝置真的安全嗎
•行動上網人口已逾 4 成 資安因素阻礙網路購物、
網路金融
» http://www.informationsecurity.com.tw/article/article_detail.aspx?
tv=71&aid=7649
•台行動上網遭駭 恐列全球前 5
» http://udn.com/NEWS/BREAKINGNEWS/
BREAKINGNEWS6/8528942.shtmL
» HP：90% 的 Apple iOS 行動應用程式有安全漏洞
» http://news.networkmagazine.com.tw/classification/security/
2013/11/19/60303/

68. 手機出廠內建惡意程式
•在Samsung、Motorola、LG、ASUS 等廠牌的新出
場手機之中，找到偽造成 Netflix 的惡意程式，傳
送密碼及信用卡號至俄羅斯。
• http://www.computerworld.com/s/article/9246764/
Pre_installed_malware_found_on_new_Android_phones

69. 2013 年 19.04% Android
惡意程式竊取個人資料
http://blog.trendmicro.com/trendlabs-security-intelligence/looking-forward-into-2014-what-2013s-mobile-threats-mean-moving-forward/

70. 90% 的 Apple iOS 行動應
用程式有安全漏洞
•惠普(HP)今天表示，在針對超過2,000件專為商務
應用而開發，且被50國約600家大型企業所使用
之iOS行動應用程式的安全測試中發現，有9/10的
應用程式存在重大安全漏洞。
http://news.networkmagazine.com.tw/classification/security/2013/11/19/60303/

71. 90% 的 Apple iOS 行動應
用程式有安全漏洞
•HP指出這些應用程式中，有97%的軟體會存取裝
置中的私人資訊來源，同時有86%的比例，證實
有招致資料隱碼(SQL Injection)等攻擊風險的安全
漏洞。
•在該測試總結中，HP指出，86%的受測應用程式，
缺乏保護自己免受諸如加密資料的誤用、跨站腳
本攻擊(Cross-Site Scripting, XSS)及不安全的資料
傳輸等常見漏洞攻擊的安全措施。
http://news.networkmagazine.com.tw/classification/security/2013/11/19/60303/

72. 資安與個資議題
•惡意程式攻擊
•個資外洩
•手機遺失
•手機使用不當
•企業環境中面臨的風險

73. 智慧型手機的規格
•硬體
•CPU：2GHz、四核心
•GPU：PowerVR /
Adreno
•記憶體：1GB ~ 3GB
•網路
•3G、HSDPA
•WiMax、LTE
•Bluetooth、Wi-Fi
•IR、NFC 感應卡!
•敏感資料
–通話記錄
–簡訊、郵件、即時通訊
–聯絡人、社群網路
–照相機、錄音
–GPS 定位

74. 強大功能的危機？
•持續連線的網路 -> 方便攻擊者隨時控制
•攝影鏡頭 -> 隨時錄影及拍照
•錄音程式 -> 隨時錄音
•GPS 定位 -> 回報位置
•帳號密碼 -> 竊取帳號密碼
•通訊錄及簡訊 -> 竊取個資並進行社交工程

75. 惡意程式
•竊取機敏資料
•帳號密碼
•通訊錄
•簡訊
•記憶卡中的資料
•信用卡等財務資料
•公司業務資料

77. 惡意程式
•攻擊作業系統
•使用現有的系統漏洞或未知的 0-Day 攻擊
•取得最高系統權限
•放置後門及竊取資料
•甚至將手機建置成 Botnet 的一員

78. 惡意程式
•盜打電話及簡訊
•惡意的撥打電話及發送簡訊
•發送付費簡訊
•增加受害者花費

79. 手機遺失
•手機等同電腦，在手機上使用越多服務，更要注
意手機遺失的風險
•手機若無上鎖加密，遺失手機等於將個人機敏資
料雙手奉上
•安裝尋找手機、遠端消除手機資料之軟體

80. 企業環境中面臨的風險
•3G 網路分享，導致內網外網混接
•造成公司內部資訊外洩
!
•惡意程式造成手機內的簡訊、信件、帳號密碼、
信用卡資訊、機敏資料等個資外洩，間接造成企
業風險

81. 應對方案
•更新手機的作業系統
•可無線上網之智慧型手機進行列管
•手機等同電腦，資安概念也必須對應到手機上
•建立遺失手機的對應方案

82. 行動裝置攻擊手法剖析

83. Android Architecture

84. Android Architecture

85. Kernel 層級漏洞
•CVE-2012-0056 gain privileges by
modify process memory (/proc/pid/mem)
•CVE-2013-2094 gain privileges via a
crafted perf_event_open system call
•CVE-2013-1773 gain privileges or
cause a denial of service (system crash)
via buffer overflow in the VFAT

86. Android Architecture

87. [WebKit] Use-After-Free Remote Code Execution
ref: http://packetstormsecurity.com/files/cve/CVE-2010-1807

88. Android Architecture

89. Android Master Key Debacle
ref: http://nakedsecurity.sophos.com/2013/07/10/anatomy-of-a-security-hole-googles-android-master-key-debacle-explained/

90. 802.1X Password Exploit
ref: http://blog.mywarwithentropy.com/2012/02/8021x-password-exploit-on-many-htc.html

91. Android Architecture

92. ADB-Savvy Thieves

93. Android Architecture

94. Insecure Data Storage
•手機 App 在存放資料時，沒有設定好完整安全的權限。可
能導致惡意程式竊取 App 的資料，例如帳號、密碼、對話
記錄、簡訊等機敏資料。
•存放方式如
» Shared Preferences
» File
» Database
» Content Provider
» External Storage (ex. SDCard)

95. Skype
ref: http://www.androidpolice.com/2011/04/14/exclusive-vulnerability-in-skype-
for-android-is-exposing-your-name-phone-number-chat-logs-and-a-lot-more/

96. # ls -l /data/data/com.skype.merlin_mecha/files/shared.xml
-rw-rw-rw- app_152 app_152 56136 2011-04-13 00:07 shared.xml
# grep Default /data/data/com.skype.merlin_mecha/files/shared.xml
<Default>jcaseap</Default>
!
# ls -l /data/data/com.skype.merlin_mecha/files/jcaseap
-rw-rw-rw- app_152 app_152 331776 2011-04-13 00:08 main.db
-rw-rw-rw- app_152 app_152 119528 2011-04-13 00:08 main.db-journal
-rw-rw-rw- app_152 app_152 40960 2011-04-11 14:05 keyval.db
-rw-rw-rw- app_152 app_152 3522 2011-04-12 23:39 config.xml
drwxrwxrwx app_152 app_152 2011-04-11 14:05 voicemail
-rw-rw-rw- app_152 app_152 0 2011-04-11 14:05 config.lck
-rw-rw-rw- app_152 app_152 61440 2011-04-13 00:08 bistats.db
drwxrwxrwx app_152 app_152 2011-04-12 21:49 chatsync
-rw-rw-rw- app_152 app_152 12824 2011-04-11 14:05 keyval.db-journal
-rw-rw-rw- app_152 app_152 33344 2011-04-13 00:08 bistats.db-journal

97. Client Side Injection
•經由手機端利用 App 來竄改、惡意利用使用者的
資料，或者是經由 App 攻擊手機本身取得權限。

98. Demo
•利用手機惡意程式盜取使用者 Facebook 帳號，讀
取帳號中的照片。

100. 應用程式安全開發指引

101. 如何確保應用程式安全
•主管機關如何把關程式安全？
» 清楚定義產品規格、安全規格
» 要求實作單位進行滲透測試，並明定測試項目、
方式、結果，必要求修復後複測。
» 應用程式連接之伺服器須架構明確並進行保
護。
» 使用 SDLC 開發流程

102. Security Development Life Cycle
(SDLC)
•訓練、需求、設計、實作、驗證、發行、回應

103. 如何確保應用程式安全
» 尋找可靠的第三方安全顧問公司進行測試
•黑箱測試（Black-Box Test）
» 模擬駭客的角度，測試應用程式的安全風險。
如進行滲透測試。
•白箱測試（White-Box Test）
» 針對原始碼進行原碼檢測（Code Review），從
原始碼中尋找安全風險。

107. 如何確保應用程式安全
•知道風險的所在
» 應用程式（App）隨時與伺服器連接，伺服器
的安全會是一大重點。除了應用程式安全之
外，更要加強伺服器安全。
» 與應用程式連接之伺服器進行隔離及管控。
» SQL Injection 等風險為個資外洩主要管道。

108. Android 防護

112. Q & A