Технологии и сервис планирования экспресс-доставки в реальном времени Вадим В...
бешков андрей. сравнение безопасности мобильных платформ
1. – I N T E R N A L O N LY
Сравнение безопасности мобильных платформ
Андрей Бешков
Microsoft
abeshkov@microsoft.com
2. – I N T E R N A L O N LY
О чем будем говорить
Безопасность базовых систем мобильных ОС
Атаки на приложения
Шифрование хранилища
3. – I N T E R N A L O N LY
Бешков? А это кто?
В прошлом пропагандист
опенсорса
Специалист в области UNIX
и Windows
Консультант в области
телеком и крупных
инфраструктур
Ныне сотрудник MS
отвечающий за ИБ
программы в Центральной и
Восточной Европе
4. – I N T E R N A L O N LY
Безопасность базовых ОС
5. – I N T E R N A L O N LY
Уязвимости мобильных ОС
Источники
http://secunia.com/
http://www.cvedetails.com/
http://
ОС Уязвимости
Apple iOS 5.x 286
Apple iOS 6.x 31
Apple iOS 7.x 37
Windows Phone 7.x 2
Windows Phone 8.x 0
Android 2.x 359
Android 3.x 2
Android 4.x 2
6. – I N T E R N A L O N LY
Уязвимости за 5 лет ТОП 20
вендоров
Источник Secunia 2011 yearly report
7. – I N T E R N A L O N LY
Отношение к обновлениям
8. – I N T E R N A L O N LY
Фрагментация Android
Одна версия Android выходит из поддержки
каждые полгода. Поддержка заканчивается еще
во время активной продажи Android устройств.
Entelligence Will Android fragmentation destroy the platform
http://www.engadget.com/2010/03/05/entelligence-will-android-fragm
entation-destroy-the-platform
/
Time for Google to Take Control of the Android Update Process
http://
www.zdnet.com/blog/mobile-news/time-for-google-to-take-control-of-
the-android-update-process/664
11. – I N T E R N A L O N LY
Установка приложения на Android
12. – I N T E R N A L O N LY
Утечка прав приложений Android
Уязвимость в Android позволяет не доверенным приложениям
записывать звук, отследить географическое положение
пользователя и получать доступ к любым данным без
разрешения. Ей подвержены аппараты от HTC, Samsung, Motorola
и Google.
Уязвимость позволяет обойти основные разрешения для любых
приложений.
http://www.theregister.co.uk/2011/11/30/google_android_security_bug/
13. – I N T E R N A L O N LY
Android Market
Легко публиковать приложения в Google Play. Особенно
атакующим.
Защиту с помощью Google Bouncer уже обошли.
Все приложения (даже приложения безопасности)
созданы равными
Нет никакой особенной защиты для приложений шифрующих
данные или передающих данные наружу.
Приложения для взлома ОС легко находятся в Google
Play и сторонних маркетах.
14. – I N T E R N A L O N LY
Зловреды любят Android
Kaspersky Security Bulletin 2013
15. – I N T E R N A L O N LY
Зловреды любят Android
Kaspersky Security Bulletin 2013
16. – I N T E R N A L O N LY
Уязвимость Heartbleed в Android
Позволяет веб сайту незаметно читать память из
Android 4.1.1 и 4.2.2 Уязвимы десятки миллионов
устройств.
Vicious Heartbleed bug bites millions of Android phones
17. – I N T E R N A L O N LY
Уязвимость в SSL/TLS iOS 7, iOS 6, Apple TV, OS X
Позволяет атакующему перехватывать и
модифицировать шифрованный траффик.
Apple's SSL bug
18. – I N T E R N A L O N LY
Apple AppStore
Чарли Миллер продемонстрировал приложения
способные менять свои модули без участия
AppStore. Это позволяет мутировать безобидные
приложения в зловредный код c помощью
JavaScript.
http://www.forbes.com/sites/andygreenberg/2011/11/07/iphone-security-bug-lets-innocent-lo
oking-apps-go-bad
/
20. – I N T E R N A L O N LY
Шифрование данных
Криптография с помощью javax.crypto или других средств
Документация по шифрованию Android и iOS крайне скудна
WP 7 WP8 Android iOS
Шифрование сменного
хранилища
Нет Да Да. С Android 3.0 Нет
Шифрование
встроенного хранилища
Нет Да Да. С Android 3.0 Да
Централизованное
управление криптографией
Нет Да Нет Нет
Централизованное
восстановление
крипто ключей
Нет Да Нет Нет
21. – I N T E R N A L O N LY
http://www.youtube.com/watch?v=uVGiNAs-QbY&feature=player_embedded
http://www.sit.fraunhofer.de/en/Images/sc_iPhone%20Passwords_tcm502-80443.pdf
22. – I N T E R N A L O N LY
Кажется с Android есть проблемы, но мой iPad
ведь безопасен?
Компрометация SIM карт клиентов AT&T использующих iPad
http
://arstechnica.com/security/news/2010/06/atts-ipad-security-breach-co
uld-be-worse-than-initially-thought.ars
Восстановление паролей iPhone за 6 минут: http
://technolog.msnbc.msn.com/_news/2011/02/10/6023980-hackers-only-need-si
x-minutes-to-reveal-your-iphone-passwords?gt1=43001