SlideShare a Scribd company logo

Bezpieczeństwo aplikacji mobilnych

SecuRing
SecuRing

Urządzenia przenośne w tym w szczególności telefony komórkowe coraz częściej zastępują komputer w roli klienta aplikacji. Jednym z nowych trendów jest przenoszenie różnego rodzaju aplikacji internetowych (np. bankowości internetowej) na platformy mobilne. W swojej prezentacji chciałbym omówić problemy dotyczące bezpieczeństwa informacji jakie należy rozpatrzyć wdrażając usługi mobilne. Dla skoncentrowania uwagi analiza problemu będzie dotyczyć bankowości mobilnej dostępnej za pośrednictwem telefonu komórkowego. - Czym pod względem bezpieczeństwa różni się terminal przenośny (np. telefon komórkowy) od komputera? - Rodzaje aplikacji mobilnych – przeglądarka vs „gruby klient”. - Jak obecnie jest implementowana bankowość mobilna? - Wykorzystanie telefonów komórkowych do autoryzacji transakcji w bankowości internetowej (kody jednorazowe, tokeny challenge-response). - Ograniczenia środowiska mobilnego – wpływ na bezpieczeństwo. - Typowe podatności dla aplikacji internetowych – czy są one aktualne dla aplikacji mobilnych? Przegląd według listy OWASP Top 10. - Ryzyka, które zyskują na znaczeniu (np. zgubienie, kradzież, obserwacja, podsłuch)

Technology
1 of 28
Bezpieczeństwo aplikacji mobilnych Wojciech Dworakowski
Bankowość mobilna 2
Agenda Wykorzystanie aplikacji mobilnych w bankowości Ograniczenia środowiska mobilnego – wpływ na bezpieczeństwo Podatności aplikacji mobilnych  Typowe podatności aplikacji webowych (przegląd wg OWASP Top10)  Podatności specyficzne dla aplikacji mobilnych Podsumowanie 3
Bankowość mobilna SMS / text  Powiadomienia  Autoryzacja transakcji  Tekstowe serwisy transakcyjne  MMI / USSD Przeglądarka  Dostęp do serwisów banku (w tym transakcyjnych) – mobilnych (dostosowanych do małego ekranu) – tradycyjnych Grafika: pocztowy.pl, aliorbank.pl 4
Bankowość mobilna Aplikacje  Autoryzacja transakcji (kody jednorazowe, challenge – response)  Serwisy transakcyjne Inne  Technologie zbliżeniowe (Near Field Communication)  Lokalizacja  ….? Grafika: raiffeisen.pl, blog.bzwbk.pl 5
Ograniczenia platformy laptop telefon Ekran duży mały Klawiatura wygodna niewygodna Multitasking jest (widoczny) jest (niewidoczny) Kradzież / zgubienie rzadkie częstsze Blokowanie częste (w firmach) rzadkie (nawet w urządzenia firmach) Świadomość mała mniejsza użytkowników Grafika: bankofamerica.com 6
ZAGROŻENIA I PODATNOŚCI APLIKACJI MOBILNYCH Grafika: technabob.com 7
Czy podatności typowe dla aplikacji webowych mogą dotyczyć aplikacji mobilnych? Webowe Mobilne Mobilne OWASP Top 10 (przeglądarka) („aplikacja”) A1 – Injection TAK TAK A2 – Corss Site Scripting (XSS) TAK (raczej) NIE A3 – Broken Authentication and Session TAK (!) TAK Management A4 – Insecure Direct Object References TAK TAK A5 – Cross Site Request Forgery TAK (raczej) NIE A6 – Security Misconfiguration TAK TAK A7 – Insecure Cryptographic Storage TAK TAK A8 – Failure to Restrict URL Access TAK zależy A9 – Insufficient Transport Layer TAK TAK Protection A10 – Unvaidated Redirects and TAK zależy Forwards 8
Najgroźniejsza „podatność” 9
Man in the Mobile Grafika: ingbank.pl, cert.pl 10
Man in the Mobile Uwaga: Każda bankowość internetowa jest podatna na tego typu atak  (wykorzystująca telefon do autoryzacji operacji) To nie zależy od banku i rodzaju bankowości internetowej ! Istotą ataku jest nieświadomy użytkownik i jego „zarażony” komputer  Wrogi kod na komputerze skłania użytkownika do podania nr tel.  Instalacja wrogiego kodu na telefonie (za zgodą użytkownika) 11
NIEKTÓRE RYZYKA CHARAKTERYSTYCZNE DLA TECHNOLOGII MOBILNYCH 12
Kradzież / zgubienie laptop telefon Prawdopodobieństwo wystąpienia Ilość (w Polsce) kilka mln 47,15 mln 1 smartfony 11,5% 2 Kradzież / zgubienie średnio bardzo często Zabezpieczenia Hasło (przy starcie) średnio PIN do SIM-karty Dane aplikacji mogą być dostępne bez PIN-u Hasło (po rzadko Rzadziej nieaktywności) Szyfrowanie dysku rzadko Na razie niszowe - BlackBerry: w systemie - Nokia, Android: dodatek 1 Telepolis IV kwartał 2010 2 Gfk Polonia, styczeń 2011 13
Sposób dystrybucji aplikacji Grafika: blogs.strategyanalytics.com Zwolnienie użytkownika z odpowiedzialności  Aplikacje są rozpowszechniane za pośrednictwem „zaufanego” źródła iTunes App Store, Android Market, MS Marketplace, BlackBerry App World, Nokia OVI Store, … Można zezwolić na instalacje z „niezaufanych” źródeł  m-banking: Dystrybucja za pomocą „sklepu” albo poinstruowanie użytkowników, że mają zezwolić na instalacje „niezaufanej” aplikacji Czy faktycznie można mieć zaufanie do aplikacji nawet ze „sprawdzonych” źródeł? 14
Sposób dystrybucji aplikacji Malware DroidDream (Android Market – 1 marca 2011)  Sklonowane ponad 50 popularnych aplikacji  Opublikowano je ponownie z dodanym malware „DroidDream”  Te same lub podobne nazwy aplikacji (developer: “Kingmall2010″, “we20090202″, “Myournet”)  Ponad 200 tys. ściągniętych kopii w ciągu pierwszego dnia  Malware zawiera dwa exploity umożliwiające uruchomienie wrogiego kodu z przywilejami „administratora”  Wykrada dane użytkownika. Umożliwia instalacje innych programów. Grafika: ubergizmo.com 15
Uwierzytelnienie Uwierzytelnienie hasłem  Niewygodna klawiatura  Czy użytkownik ustawi „silne” hasło? Czy będzie chciał wpisywać hasło za każdym razem? Zapamiętanie użytkownika  Zwiększona podatność na kradzież / zgubienie PIN do aplikacji  Co jest faktycznymi danymi uwierzytelniającymi do serwera?  Bardzo często – błędy implementacji – Np. przechowywanie danych uwierzytelniających otwartym tekstem  Na ekranie dotykowym zostają ślady Grafika: engadget.com 16
Uwierzytelnienie Uwierzytelnienie hasłem  Niewygodna klawiatura  Czy użytkownik ustawi „silne” hasło? Czy będzie chciał wpisywać hasło za każdym razem? Zapamiętanie użytkownika  Zwiększona podatność na kradzież / zgubienie PIN do aplikacji  Co jest faktycznymi danymi uwierzytelniającymi do serwera?  Bardzo często – błędy implementacji – Np. przechowywanie danych uwierzytelniających otwartym tekstem  Na ekranie dotykowym zostają ślady Grafika: engadget.com 17
Zakończenie sesji Jak użytkownik zwykle kończy działanie? Na niektórych platformach mobilnych nie ma pojęcia „wyjścia” z aplikacji  Aplikacja pozostaje w pamięci ale nie dostaje czasu procesora  Jeśli użytkownik ponownie uruchomi aplikację, to system wróci do „zamrożonej” aplikacji (łącznie z jej stanem) 18
Zakończenie sesji Scenariusz  Użytkownik loguje się do aplikacji bankowości mobilnej  Nie wylogowuje się ale kończy korzystanie (exit, przycisk „home”, odebranie połączenia telefonicznego, etc.)  Intruz przejmuje telefon  Aplikacja bankowości nadal jest aktywna – z sesją użytkownika Kluczowym zabezpieczeniem staje się niszczenie sesji (na serwerze!) po dłuższej nieaktywności użytkownika 19
Rozwój platform mobilnych Żadne oprogramowanie nie jest pozbawione błędów Uaktualnienia  Znacznie rzadsze niż w przypadku systemów operacyjnych na komputerach  Skomplikowany proces przygotowania nowej wersji systemu – Platforma  Producent telefonu  Operator – Kilka miesięcy 20
Rozwój platform mobilnych Wiele platform  iOS, Android, Symbian, Windows Phone, BlackBerry, Bada, …  Aplikacja musi być przygotowana na każdą wspieraną platformę  Komplikacja procesu  Zwiększone ryzyko wprowadzenia podatności Dynamiczny rozwój technologii  Zawsze w historii powodowało to problemy ;)  Nowe technologie = nowe techniki ataku – Np. Near Filed Communication 21
Błędy implementacji - przykład Listopad 2010  Firma viaForensics ujawnieniła podatności w bankowości mobilnej dużych amerykańskich banków  Sprawdzali tylko czy aplikacje przechowują w telefonie dane wrażliwe bez szyfrowania  Artykuł w Wall Street Journal Przykłady:  Wells Fargo (Android) – nazwa użytkownika + hasło, salda rachunków  USAA (Android) – kopie „odwiedzanych stron”  Bank of America (Android) – odpowiedź na pytanie do odzyskiwania hasła  JP Morgan Chase (iPhone) – nazwa użytkownika i hasło (opcjonalnie)  TD Ameritrade (iPhone i Android) – nazwa użytkownika Źródło: http://online.wsj.com/article/SB10001424052748703805704575594581203248658.html 22 http://viaforensics.com/appwatchdog/
Podsumowanie m-Banking ≠ e-Banking  Jak każda nowa technologia również technologie mobilne niosą ze sobą nowe zagrożenia  Środowiska mobilne nie dostarczają mechanizmów bezpieczeństwa zbliżonych do współczesnych komputerów 23
Podsumowanie m-Banking ≠ e-Banking Trzeba uaktualnić model zagrożeń  Czy potwierdzenie tożsamości na podstawie faktu posiadania komórki (numeru telefonicznego) jest wystarczające?  Czy telefon to urządzenie zaufane?  Czy telefon jest bezpieczniejszy od komputera?  Jaki jest wpływ zagrożeń typowych dla urządzeń przenośnych na naszą aplikację? Np. strata urządzenia 24
Bezpieczniejsza bankowość mobilna? Planowanie i projektowanie  Szczegółowa analiza wpływu na bezpieczeństwo – Identyfikacja zagrożeń, analiza ryzyka – Modelowanie zagrożeń – Niestandardowe zachowania użytkownika  Dodatkowe zabezpieczenia (np. limity, powiadomienia, fraud detection)  Zabezpieczenia na przyszłość – nie tylko na dzisiaj ! 25
Bezpieczniejsza bankowość mobilna? Implementacja  Szczegółowe testy bezpieczeństwa – Przy uwzględnieniu zagrożeń – ..i technik charakterystycznych dla technologii mobilinych – Scenariusze ataku łączące mobilny i webowy dostęp do usług – Większość istotnych podatności istnieje po stronie serwera – Ale trzeba uwzględnić zagrożenia wynikające z „mobilności” 26
Bezpieczniejsza bankowość mobilna? Wdrażanie i utrzymanie  Edukowanie użytkowników  … i kadry technicznej  Monitorowanie i reagowanie na nowe zagrożenia i metody ataków 27
Pytania? info@securing.pl Tel.: 12 425 25 75 Wojciech Dworakowski wojciech.dworakowski@securing.pl Tel.: 506 184 550 28

Recommended

(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych
SecuRing
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
SecuRing
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych
Slawomir Jasek
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnych
SecuRing
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
SecuRing
 
Jak włamałem się do banku
Jak włamałem się do bankuJak włamałem się do banku
Jak włamałem się do banku
Slawomir Jasek
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
SecuRing
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
SecuRing
 

Recommended

(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych
SecuRing
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
SecuRing
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych
Slawomir Jasek
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnych
SecuRing
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
SecuRing
 
Jak włamałem się do banku
Jak włamałem się do bankuJak włamałem się do banku
Jak włamałem się do banku
Slawomir Jasek
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
SecuRing
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
SecuRing
 
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę AndroidTestowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
SecuRing
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania
SecuRing
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
Logicaltrust pl
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mity
Logicaltrust pl
 
Możliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilneMożliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilne
SecuRing
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Logicaltrust pl
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Logicaltrust pl
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Logicaltrust pl
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Logicaltrust pl
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obrony
Logicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
Logicaltrust pl
 
Wyscig o czynnik ludzki
Wyscig o czynnik ludzkiWyscig o czynnik ludzki
Wyscig o czynnik ludzki
Artur Marek Maciąg
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Logicaltrust pl
 
infoShare 2011 - Łukasz Korzeniowski - Różnorodność mobilnych systemów operac...
infoShare 2011 - Łukasz Korzeniowski - Różnorodność mobilnych systemów operac...infoShare 2011 - Łukasz Korzeniowski - Różnorodność mobilnych systemów operac...
infoShare 2011 - Łukasz Korzeniowski - Różnorodność mobilnych systemów operac...Infoshare
 
Bezpieczeństwo iOS
Bezpieczeństwo iOSBezpieczeństwo iOS
Bezpieczeństwo iOS
pawelqus
 
Prezentacja
PrezentacjaPrezentacja
Prezentacja
DamianGago
 
Halokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP SecurityHalokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP Securitymichalpodoski
 
Aplikacje mobilne tworzone w technologiach webowych
Aplikacje mobilne tworzone w technologiach webowychAplikacje mobilne tworzone w technologiach webowych
Aplikacje mobilne tworzone w technologiach webowych
Tomasz Borowski
 
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacjiSerwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Wojciech Boczoń
 
Mobile malware
Mobile malwareMobile malware
Mobile malwareMatthew Halaba
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowych
Bpatryczek
 

More Related Content

What's hot

Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę AndroidTestowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
SecuRing
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania
SecuRing
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
Logicaltrust pl
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mity
Logicaltrust pl
 
Możliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilneMożliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilne
SecuRing
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Logicaltrust pl
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Logicaltrust pl
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Logicaltrust pl
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Logicaltrust pl
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obrony
Logicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
Logicaltrust pl
 
Wyscig o czynnik ludzki
Wyscig o czynnik ludzkiWyscig o czynnik ludzki
Wyscig o czynnik ludzki
Artur Marek Maciąg
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Logicaltrust pl
 

What's hot (14)

Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę AndroidTestowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mity
 
Możliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilneMożliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilne
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obrony
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
 
Wyscig o czynnik ludzki
Wyscig o czynnik ludzkiWyscig o czynnik ludzki
Wyscig o czynnik ludzki
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
 

Similar to Bezpieczeństwo aplikacji mobilnych

infoShare 2011 - Łukasz Korzeniowski - Różnorodność mobilnych systemów operac...
infoShare 2011 - Łukasz Korzeniowski - Różnorodność mobilnych systemów operac...infoShare 2011 - Łukasz Korzeniowski - Różnorodność mobilnych systemów operac...
infoShare 2011 - Łukasz Korzeniowski - Różnorodność mobilnych systemów operac...Infoshare
 
Bezpieczeństwo iOS
Bezpieczeństwo iOSBezpieczeństwo iOS
Bezpieczeństwo iOS
pawelqus
 
Prezentacja
PrezentacjaPrezentacja
Prezentacja
DamianGago
 
Halokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP SecurityHalokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP Securitymichalpodoski
 
Aplikacje mobilne tworzone w technologiach webowych
Aplikacje mobilne tworzone w technologiach webowychAplikacje mobilne tworzone w technologiach webowych
Aplikacje mobilne tworzone w technologiach webowych
Tomasz Borowski
 
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacjiSerwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Wojciech Boczoń
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowych
Bpatryczek
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
SecuRing
 
Windows phone 7 overview
Windows phone 7 overviewWindows phone 7 overview
Windows phone 7 overviewMatthew Halaba
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Pawel Krawczyk
 
Bezpieczeństwo rozwiązań Iot/M2M
Bezpieczeństwo rozwiązań Iot/M2MBezpieczeństwo rozwiązań Iot/M2M
Bezpieczeństwo rozwiązań Iot/M2M
SecuRing
 
Testy w środowisku mobilnym
Testy w środowisku mobilnymTesty w środowisku mobilnym
Testy w środowisku mobilnym
M_wiktorowski
 
Oprogramowanie antywirusowe i do diagnostyki systemu operacyjnego
Oprogramowanie antywirusowe i do diagnostyki systemu operacyjnegoOprogramowanie antywirusowe i do diagnostyki systemu operacyjnego
Oprogramowanie antywirusowe i do diagnostyki systemu operacyjnego
Szymon Konkol - Publikacje Cyfrowe
 
5
55
5
Szymon Konkol - Publikacje Cyfrowe
 
Programowanie Windows Phone 7
Programowanie Windows Phone 7Programowanie Windows Phone 7
Programowanie Windows Phone 7daniel.plawgo
 
infoShare_2012_monika_ania_janmedia
infoShare_2012_monika_ania_janmediainfoShare_2012_monika_ania_janmedia
infoShare_2012_monika_ania_janmedia
Monika Mikowska
 
TARGI MOBILNE, Wiosenne hartowanie czyli jak się nie dać nsa i złośliwej p...
TARGI MOBILNE, Wiosenne hartowanie czyli jak się nie dać nsa i złośliwej p...TARGI MOBILNE, Wiosenne hartowanie czyli jak się nie dać nsa i złośliwej p...
TARGI MOBILNE, Wiosenne hartowanie czyli jak się nie dać nsa i złośliwej p...ecommerce poland expo
 
Artur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
Artur Pajkert OGICOM.PL ShopCamp 1.4 WarszawaArtur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
Artur Pajkert OGICOM.PL ShopCamp 1.4 Warszawaecommerce poland expo
 

Similar to Bezpieczeństwo aplikacji mobilnych (20)

infoShare 2011 - Łukasz Korzeniowski - Różnorodność mobilnych systemów operac...
infoShare 2011 - Łukasz Korzeniowski - Różnorodność mobilnych systemów operac...infoShare 2011 - Łukasz Korzeniowski - Różnorodność mobilnych systemów operac...
infoShare 2011 - Łukasz Korzeniowski - Różnorodność mobilnych systemów operac...
 
Bezpieczeństwo iOS
Bezpieczeństwo iOSBezpieczeństwo iOS
Bezpieczeństwo iOS
 
Prezentacja
PrezentacjaPrezentacja
Prezentacja
 
Halokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP SecurityHalokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP Security
 
Aplikacje mobilne tworzone w technologiach webowych
Aplikacje mobilne tworzone w technologiach webowychAplikacje mobilne tworzone w technologiach webowych
Aplikacje mobilne tworzone w technologiach webowych
 
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacjiSerwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
Serwisy lite w bankowości mobilnej. Zalety i wady serwisów lite, RWD i aplikacji
 
Mobile malware
Mobile malwareMobile malware
Mobile malware
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowych
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
 
Windows phone 7 overview
Windows phone 7 overviewWindows phone 7 overview
Windows phone 7 overview
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
 
Bezpieczeństwo rozwiązań Iot/M2M
Bezpieczeństwo rozwiązań Iot/M2MBezpieczeństwo rozwiązań Iot/M2M
Bezpieczeństwo rozwiązań Iot/M2M
 
Testy w środowisku mobilnym
Testy w środowisku mobilnymTesty w środowisku mobilnym
Testy w środowisku mobilnym
 
Ochrona Przed Wirusami
Ochrona Przed WirusamiOchrona Przed Wirusami
Ochrona Przed Wirusami
 
Oprogramowanie antywirusowe i do diagnostyki systemu operacyjnego
Oprogramowanie antywirusowe i do diagnostyki systemu operacyjnegoOprogramowanie antywirusowe i do diagnostyki systemu operacyjnego
Oprogramowanie antywirusowe i do diagnostyki systemu operacyjnego
 
5
55
5
 
Programowanie Windows Phone 7
Programowanie Windows Phone 7Programowanie Windows Phone 7
Programowanie Windows Phone 7
 
infoShare_2012_monika_ania_janmedia
infoShare_2012_monika_ania_janmediainfoShare_2012_monika_ania_janmedia
infoShare_2012_monika_ania_janmedia
 
TARGI MOBILNE, Wiosenne hartowanie czyli jak się nie dać nsa i złośliwej p...
TARGI MOBILNE, Wiosenne hartowanie czyli jak się nie dać nsa i złośliwej p...TARGI MOBILNE, Wiosenne hartowanie czyli jak się nie dać nsa i złośliwej p...
TARGI MOBILNE, Wiosenne hartowanie czyli jak się nie dać nsa i złośliwej p...
 
Artur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
Artur Pajkert OGICOM.PL ShopCamp 1.4 WarszawaArtur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
Artur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
 

More from SecuRing

Developer in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4DevelopersDeveloper in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4Developers
SecuRing
 
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
SecuRing
 
Developer in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON NameDeveloper in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON Name
SecuRing
 
Is persistency on serverless even possible?!
Is persistency on serverless even possible?!Is persistency on serverless even possible?!
Is persistency on serverless even possible?!
SecuRing
 
What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!
SecuRing
 
0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments
SecuRing
 
Developer in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 editionDeveloper in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 edition
SecuRing
 
20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms
SecuRing
 
How secure are webinar platforms?
How secure are webinar platforms?How secure are webinar platforms?
How secure are webinar platforms?
SecuRing
 
20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms
SecuRing
 
Serverless security: attack & defense
Serverless security: attack & defense Serverless security: attack & defense
Serverless security: attack & defense
SecuRing
 
Abusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS appsAbusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS apps
SecuRing
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
SecuRing
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
SecuRing
 
Let's get evil - threat modeling at scale
Let's get evil - threat modeling at scaleLet's get evil - threat modeling at scale
Let's get evil - threat modeling at scale
SecuRing
 
Attacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainAttacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chain
SecuRing
 
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsWeb Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
SecuRing
 
Budowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSBudowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOS
SecuRing
 
We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.
SecuRing
 
Building & Hacking Modern iOS Apps
Building & Hacking Modern iOS AppsBuilding & Hacking Modern iOS Apps
Building & Hacking Modern iOS Apps
SecuRing
 

More from SecuRing (20)

Developer in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4DevelopersDeveloper in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4Developers
 
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
 
Developer in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON NameDeveloper in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON Name
 
Is persistency on serverless even possible?!
Is persistency on serverless even possible?!Is persistency on serverless even possible?!
Is persistency on serverless even possible?!
 
What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!
 
0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments
 
Developer in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 editionDeveloper in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 edition
 
20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms
 
How secure are webinar platforms?
How secure are webinar platforms?How secure are webinar platforms?
How secure are webinar platforms?
 
20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms
 
Serverless security: attack & defense
Serverless security: attack & defense Serverless security: attack & defense
Serverless security: attack & defense
 
Abusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS appsAbusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS apps
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
 
Let's get evil - threat modeling at scale
Let's get evil - threat modeling at scaleLet's get evil - threat modeling at scale
Let's get evil - threat modeling at scale
 
Attacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainAttacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chain
 
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsWeb Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
 
Budowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSBudowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOS
 
We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.
 
Building & Hacking Modern iOS Apps
Building & Hacking Modern iOS AppsBuilding & Hacking Modern iOS Apps
Building & Hacking Modern iOS Apps
 

Bezpieczeństwo aplikacji mobilnych

  • 1. Bezpieczeństwo aplikacji mobilnych Wojciech Dworakowski
  • 3. Agenda Wykorzystanie aplikacji mobilnych w bankowości Ograniczenia środowiska mobilnego – wpływ na bezpieczeństwo Podatności aplikacji mobilnych  Typowe podatności aplikacji webowych (przegląd wg OWASP Top10)  Podatności specyficzne dla aplikacji mobilnych Podsumowanie 3
  • 4. Bankowość mobilna SMS / text  Powiadomienia  Autoryzacja transakcji  Tekstowe serwisy transakcyjne  MMI / USSD Przeglądarka  Dostęp do serwisów banku (w tym transakcyjnych) – mobilnych (dostosowanych do małego ekranu) – tradycyjnych Grafika: pocztowy.pl, aliorbank.pl 4
  • 5. Bankowość mobilna Aplikacje  Autoryzacja transakcji (kody jednorazowe, challenge – response)  Serwisy transakcyjne Inne  Technologie zbliżeniowe (Near Field Communication)  Lokalizacja  ….? Grafika: raiffeisen.pl, blog.bzwbk.pl 5
  • 6. Ograniczenia platformy laptop telefon Ekran duży mały Klawiatura wygodna niewygodna Multitasking jest (widoczny) jest (niewidoczny) Kradzież / zgubienie rzadkie częstsze Blokowanie częste (w firmach) rzadkie (nawet w urządzenia firmach) Świadomość mała mniejsza użytkowników Grafika: bankofamerica.com 6
  • 7. ZAGROŻENIA I PODATNOŚCI APLIKACJI MOBILNYCH Grafika: technabob.com 7
  • 8. Czy podatności typowe dla aplikacji webowych mogą dotyczyć aplikacji mobilnych? Webowe Mobilne Mobilne OWASP Top 10 (przeglądarka) („aplikacja”) A1 – Injection TAK TAK A2 – Corss Site Scripting (XSS) TAK (raczej) NIE A3 – Broken Authentication and Session TAK (!) TAK Management A4 – Insecure Direct Object References TAK TAK A5 – Cross Site Request Forgery TAK (raczej) NIE A6 – Security Misconfiguration TAK TAK A7 – Insecure Cryptographic Storage TAK TAK A8 – Failure to Restrict URL Access TAK zależy A9 – Insufficient Transport Layer TAK TAK Protection A10 – Unvaidated Redirects and TAK zależy Forwards 8
  • 10. Man in the Mobile Grafika: ingbank.pl, cert.pl 10
  • 11. Man in the Mobile Uwaga: Każda bankowość internetowa jest podatna na tego typu atak  (wykorzystująca telefon do autoryzacji operacji) To nie zależy od banku i rodzaju bankowości internetowej ! Istotą ataku jest nieświadomy użytkownik i jego „zarażony” komputer  Wrogi kod na komputerze skłania użytkownika do podania nr tel.  Instalacja wrogiego kodu na telefonie (za zgodą użytkownika) 11
  • 13. Kradzież / zgubienie laptop telefon Prawdopodobieństwo wystąpienia Ilość (w Polsce) kilka mln 47,15 mln 1 smartfony 11,5% 2 Kradzież / zgubienie średnio bardzo często Zabezpieczenia Hasło (przy starcie) średnio PIN do SIM-karty Dane aplikacji mogą być dostępne bez PIN-u Hasło (po rzadko Rzadziej nieaktywności) Szyfrowanie dysku rzadko Na razie niszowe - BlackBerry: w systemie - Nokia, Android: dodatek 1 Telepolis IV kwartał 2010 2 Gfk Polonia, styczeń 2011 13
  • 14. Sposób dystrybucji aplikacji Grafika: blogs.strategyanalytics.com Zwolnienie użytkownika z odpowiedzialności  Aplikacje są rozpowszechniane za pośrednictwem „zaufanego” źródła iTunes App Store, Android Market, MS Marketplace, BlackBerry App World, Nokia OVI Store, … Można zezwolić na instalacje z „niezaufanych” źródeł  m-banking: Dystrybucja za pomocą „sklepu” albo poinstruowanie użytkowników, że mają zezwolić na instalacje „niezaufanej” aplikacji Czy faktycznie można mieć zaufanie do aplikacji nawet ze „sprawdzonych” źródeł? 14
  • 15. Sposób dystrybucji aplikacji Malware DroidDream (Android Market – 1 marca 2011)  Sklonowane ponad 50 popularnych aplikacji  Opublikowano je ponownie z dodanym malware „DroidDream”  Te same lub podobne nazwy aplikacji (developer: “Kingmall2010″, “we20090202″, “Myournet”)  Ponad 200 tys. ściągniętych kopii w ciągu pierwszego dnia  Malware zawiera dwa exploity umożliwiające uruchomienie wrogiego kodu z przywilejami „administratora”  Wykrada dane użytkownika. Umożliwia instalacje innych programów. Grafika: ubergizmo.com 15
  • 16. Uwierzytelnienie Uwierzytelnienie hasłem  Niewygodna klawiatura  Czy użytkownik ustawi „silne” hasło? Czy będzie chciał wpisywać hasło za każdym razem? Zapamiętanie użytkownika  Zwiększona podatność na kradzież / zgubienie PIN do aplikacji  Co jest faktycznymi danymi uwierzytelniającymi do serwera?  Bardzo często – błędy implementacji – Np. przechowywanie danych uwierzytelniających otwartym tekstem  Na ekranie dotykowym zostają ślady Grafika: engadget.com 16
  • 17. Uwierzytelnienie Uwierzytelnienie hasłem  Niewygodna klawiatura  Czy użytkownik ustawi „silne” hasło? Czy będzie chciał wpisywać hasło za każdym razem? Zapamiętanie użytkownika  Zwiększona podatność na kradzież / zgubienie PIN do aplikacji  Co jest faktycznymi danymi uwierzytelniającymi do serwera?  Bardzo często – błędy implementacji – Np. przechowywanie danych uwierzytelniających otwartym tekstem  Na ekranie dotykowym zostają ślady Grafika: engadget.com 17
  • 18. Zakończenie sesji Jak użytkownik zwykle kończy działanie? Na niektórych platformach mobilnych nie ma pojęcia „wyjścia” z aplikacji  Aplikacja pozostaje w pamięci ale nie dostaje czasu procesora  Jeśli użytkownik ponownie uruchomi aplikację, to system wróci do „zamrożonej” aplikacji (łącznie z jej stanem) 18
  • 19. Zakończenie sesji Scenariusz  Użytkownik loguje się do aplikacji bankowości mobilnej  Nie wylogowuje się ale kończy korzystanie (exit, przycisk „home”, odebranie połączenia telefonicznego, etc.)  Intruz przejmuje telefon  Aplikacja bankowości nadal jest aktywna – z sesją użytkownika Kluczowym zabezpieczeniem staje się niszczenie sesji (na serwerze!) po dłuższej nieaktywności użytkownika 19
  • 20. Rozwój platform mobilnych Żadne oprogramowanie nie jest pozbawione błędów Uaktualnienia  Znacznie rzadsze niż w przypadku systemów operacyjnych na komputerach  Skomplikowany proces przygotowania nowej wersji systemu – Platforma  Producent telefonu  Operator – Kilka miesięcy 20
  • 21. Rozwój platform mobilnych Wiele platform  iOS, Android, Symbian, Windows Phone, BlackBerry, Bada, …  Aplikacja musi być przygotowana na każdą wspieraną platformę  Komplikacja procesu  Zwiększone ryzyko wprowadzenia podatności Dynamiczny rozwój technologii  Zawsze w historii powodowało to problemy ;)  Nowe technologie = nowe techniki ataku – Np. Near Filed Communication 21
  • 22. Błędy implementacji - przykład Listopad 2010  Firma viaForensics ujawnieniła podatności w bankowości mobilnej dużych amerykańskich banków  Sprawdzali tylko czy aplikacje przechowują w telefonie dane wrażliwe bez szyfrowania  Artykuł w Wall Street Journal Przykłady:  Wells Fargo (Android) – nazwa użytkownika + hasło, salda rachunków  USAA (Android) – kopie „odwiedzanych stron”  Bank of America (Android) – odpowiedź na pytanie do odzyskiwania hasła  JP Morgan Chase (iPhone) – nazwa użytkownika i hasło (opcjonalnie)  TD Ameritrade (iPhone i Android) – nazwa użytkownika Źródło: http://online.wsj.com/article/SB10001424052748703805704575594581203248658.html 22 http://viaforensics.com/appwatchdog/
  • 23. Podsumowanie m-Banking ≠ e-Banking  Jak każda nowa technologia również technologie mobilne niosą ze sobą nowe zagrożenia  Środowiska mobilne nie dostarczają mechanizmów bezpieczeństwa zbliżonych do współczesnych komputerów 23
  • 24. Podsumowanie m-Banking ≠ e-Banking Trzeba uaktualnić model zagrożeń  Czy potwierdzenie tożsamości na podstawie faktu posiadania komórki (numeru telefonicznego) jest wystarczające?  Czy telefon to urządzenie zaufane?  Czy telefon jest bezpieczniejszy od komputera?  Jaki jest wpływ zagrożeń typowych dla urządzeń przenośnych na naszą aplikację? Np. strata urządzenia 24
  • 25. Bezpieczniejsza bankowość mobilna? Planowanie i projektowanie  Szczegółowa analiza wpływu na bezpieczeństwo – Identyfikacja zagrożeń, analiza ryzyka – Modelowanie zagrożeń – Niestandardowe zachowania użytkownika  Dodatkowe zabezpieczenia (np. limity, powiadomienia, fraud detection)  Zabezpieczenia na przyszłość – nie tylko na dzisiaj ! 25
  • 26. Bezpieczniejsza bankowość mobilna? Implementacja  Szczegółowe testy bezpieczeństwa – Przy uwzględnieniu zagrożeń – ..i technik charakterystycznych dla technologii mobilinych – Scenariusze ataku łączące mobilny i webowy dostęp do usług – Większość istotnych podatności istnieje po stronie serwera – Ale trzeba uwzględnić zagrożenia wynikające z „mobilności” 26
  • 27. Bezpieczniejsza bankowość mobilna? Wdrażanie i utrzymanie  Edukowanie użytkowników  … i kadry technicznej  Monitorowanie i reagowanie na nowe zagrożenia i metody ataków 27
  • 28. Pytania? info@securing.pl Tel.: 12 425 25 75 Wojciech Dworakowski wojciech.dworakowski@securing.pl Tel.: 506 184 550 28