Android insecurity

1. Android (in)Security

2. Chi?
Eclipse Spark

3. Chi?
Eclipse Spark
Quello di Parrot Security

4. Chi?
Eclipse Spark
Quello di Parrot Security
Lorenzo Faletra, per mamma e papà

5. Android (in)Security

6. Android (in)Security

7. Android (in)Security

8. Android (in)Security

9. Android (in)Security

10. Android (in)Security

11. Android (in)Security

12. Android (in)Security

13. Android (in)Security

14. Android (in)Security

15. Android (in)Security

16. Android (in)Security
Miley Cyrus [17] (!)
Kristin Davis [7] (!)
Nina Agdal [1] (!)
Kelly Felthous [9]
Courtney Love [1]
Blake Lively [16]
Tobie Percival [32]
Olivia Munn [22]
Vanna White [11]
Adrianne Curry [130]
Susan Slaughter [18]
Aneesa Ferreira [48]
Claudia Romani [6]
Rachel McCord [11]
Kara Eberle [4]
Sophie Turner [14]
Miesha Tate [15]
Catherine Serre [9]
Minerva Portillo [31]
Heathyr Hoffman [30]
Hannah Davis [16]
May Andersen [47]
Carolina Dieckmann [20]
Han Sung Joo [4]
Jennifer Lawrence [4]
Laura Ramsey [1]
Jenelle Evans [4]
Renata Frisson [14]
Addison Timlin [1]
Megan Hauserman [1]
Sarah Shahi [17]
Lisa Kelly [14]
Rachel White [8]
Khanyi Mbau [9]
Mayra Suarez [4]
Lara Bingle [7]
Jessie Wallace [9]
Melanie Laurent [6]
Lacey Banghard [7]
Leilani Dowding [11]
Lindsey Duke [5]
Madonna [9]
Jessica Davies [25]
Nikolina Pisek [2]
Loui Batley [5]
K. Michelle [1]
Vida Guerra [21]
Abby Elliot [2]
Adrienne Bailon [3]
Alaina Huffman [4]
Alana Blanchard [20]
Ali Michael [183]
Alison Pill [1]
Amanda Bynes [3]
Amanda Fuller [4]
Angi Miller [2]
Anna Kendrick [28]
AnnaLynne McCord[35]
Ariana Grande [3]
Ashley Benson [15]
Ashley Blankenship [22]
Ashley Greene [3]
Aubrey Celand [1]
Aubrey Plaza [6]
Avril Lavigne [41]
Bar Rafaeli [3]
Becca Tobin [8]
Brianna Evigan [3]
Brooke Burns [4]
Candice Swanepoel [6]
Cara Delevingne [4]
Cara Maria Sobello [14]
Carly Foukles [19]
Carly Pope [17]
Cassie Ventura [5]
Cat Deely [8]
Chloe Bennett [15]
Chloe Dykstra [17]
Christina Aguilera [3]
Christina Hendricks [5]
Daisy Lowe [18]
Danica Patrick [3]
Dawn Jaro [4]
Demi Lovato [2]
Ellie Kemper [1]
Elodie Varlet [20]
Emily Bett Rickards [2]
Emily Browning [30]
Emmy Rossum [8]
Erin Cummins [112]
Ferne Mccann [1]
Hayden Panettiere [64]
Hayley Williams [1]
Heather Marks [4]
Heather Morris [11]
Hilary Duff [8]
Holly Erika Eriksson
[12]
Hope Solo [27]
Ingrid Michaelson [5]
Jennette McCurdy [10]
Jessica Alba [4]
Jessica Brown Findlay
[10]
Jill Scott [2]
Joanna Krupa [15]
Jordan Hinson [11]
Joy Corrigan [10]
Kaley Cuoco [46]
Kat Dennings [5]
Kate Micucci [1]
Kaya Scodelario [29]
Keke Palmer [6]
Kelli Garner [9]
Kelly Brook [34]
Kim Kardashian [6]
Kreayshawn [2]
Kristen Bredehoeft [1]
Lake Bell [36]
Lauren O'Neil [28]
Lauren Skaar [21]
Lea Michelle [4]
Leelee Sobieski [57]
Leven Rambin [4]
Lindsay Clubine [60]
Lizzy Caplan [13]
Lori Heuring [10]
Marion Peru [73]
Mary Elizabeth
Winstead [9]
Melina Lezcano [6]
Melina Perez [1]
Melissa Benoist [10]
Mellisa Clarke [11]
Michalka Sisters [91]
Michelle Trachtenberg
[3]
Milana Vayntrub [5]
Nicola Peltz [5]
Nikki Cox [8]
Nina Dobrev [144]
Paige Duke [3]
Paige Duke [6]
Paris Hilton [9]
Renee Olstead [20]
Rihanna [30]
Robyn Bewersdorf [29]
Sahara Ray [80]
Salome Stevenin [22]
Sarah Hyland [30]
Sarah Schneider [2]
Scarlett Johansson [2]
Scarlett Johansson [9]
Selena Gomez [1]
Shanon McAnally [15]
Shiri Appleby [1]
Sofia Kasuli [57]
Tenna Torres [3]
Teresa Palmer [30]
Uldouz Wallace [29]
Vanessa Hudgens [26]
Velvet Sky [1]
Victoria Justice [36]
Wailana Geisen [70]
Yvonne Strahovski [18]
Zoe Kazan [42]

17. Android (in)Security
Miley Cyrus [17] (!)
Kristin Davis [7] (!)
Nina Agdal [1] (!)
Kelly Felthous [9]
Courtney Love [1]
Blake Lively [16]
Tobie Percival [32]
Olivia Munn [22]
Vanna White [11]
Adrianne Curry [130]
Susan Slaughter [18]
Aneesa Ferreira [48]
Claudia Romani [6]
Rachel McCord [11]
Kara Eberle [4]
Sophie Turner [14]
Miesha Tate [15]
Catherine Serre [9]
Minerva Portillo [31]
Heathyr Hoffman [30]
Hannah Davis [16]
May Andersen [47]
Carolina Dieckmann [20]
Han Sung Joo [4]
Jennifer Lawrence [4]
Laura Ramsey [1]
Jenelle Evans [4]
Renata Frisson [14]
Addison Timlin [1]
Megan Hauserman [1]
Sarah Shahi [17]
Lisa Kelly [14]
Rachel White [8]
Khanyi Mbau [9]
Mayra Suarez [4]
Lara Bingle [7]
Jessie Wallace [9]
Melanie Laurent [6]
Lacey Banghard [7]
Leilani Dowding [11]
Lindsey Duke [5]
Madonna [9]
Jessica Davies [25]
Nikolina Pisek [2]
Loui Batley [5]
K. Michelle [1]
Vida Guerra [21]
Abby Elliot [2]
Adrienne Bailon [3]
Alaina Huffman [4]
Alana Blanchard [20]
Ali Michael [183]
Alison Pill [1]
Amanda Bynes [3]
Amanda Fuller [4]
Angi Miller [2]
Anna Kendrick [28]
AnnaLynne McCord[35]
Ariana Grande [3]
Ashley Benson [15]
Ashley Blankenship [22]
Ashley Greene [3]
Aubrey Celand [1]
Aubrey Plaza [6]
Avril Lavigne [41]
Bar Rafaeli [3]
Becca Tobin [8]
Brianna Evigan [3]
Brooke Burns [4]
Candice Swanepoel [6]
Cara Delevingne [4]
Cara Maria Sobello [14]
Carly Foukles [19]
Carly Pope [17]
Cassie Ventura [5]
Cat Deely [8]
Chloe Bennett [15]
Chloe Dykstra [17]
Christina Aguilera [3]
Christina Hendricks [5]
Daisy Lowe [18]
Danica Patrick [3]
Dawn Jaro [4]
Demi Lovato [2]
Ellie Kemper [1]
Elodie Varlet [20]
Emily Bett Rickards [2]
Emily Browning [30]
Emmy Rossum [8]
Erin Cummins [112]
Ferne Mccann [1]
Hayden Panettiere [64]
Hayley Williams [1]
Heather Marks [4]
Heather Morris [11]
Hilary Duff [8]
Holly Erika Eriksson
[12]
Hope Solo [27]
Ingrid Michaelson [5]
Jennette McCurdy [10]
Jessica Alba [4]
Jessica Brown Findlay
[10]
Jill Scott [2]
Joanna Krupa [15]
Jordan Hinson [11]
Joy Corrigan [10]
Kaley Cuoco [46]
Kat Dennings [5]
Kate Micucci [1]
Kaya Scodelario [29]
Keke Palmer [6]
Kelli Garner [9]
Kelly Brook [34]
Kim Kardashian [6]
Kreayshawn [2]
Kristen Bredehoeft [1]
Lake Bell [36]
Lauren O'Neil [28]
Lauren Skaar [21]
Lea Michelle [4]
Leelee Sobieski [57]
Leven Rambin [4]
Lindsay Clubine [60]
Lizzy Caplan [13]
Lori Heuring [10]
Marion Peru [73]
Mary Elizabeth
Winstead [9]
Melina Lezcano [6]
Melina Perez [1]
Melissa Benoist [10]
Mellisa Clarke [11]
Michalka Sisters [91]
Michelle Trachtenberg
[3]
Milana Vayntrub [5]
Nicola Peltz [5]
Nikki Cox [8]
Nina Dobrev [144]
Paige Duke [3]
Paige Duke [6]
Paris Hilton [9]
Renee Olstead [20]
Rihanna [30]
Robyn Bewersdorf [29]
Sahara Ray [80]
Salome Stevenin [22]
Sarah Hyland [30]
Sarah Schneider [2]
Scarlett Johansson [2]
Scarlett Johansson [9]
Selena Gomez [1]
Shanon McAnally [15]
Shiri Appleby [1]
Sofia Kasuli [57]
Tenna Torres [3]
Teresa Palmer [30]
Uldouz Wallace [29]
Vanessa Hudgens [26]
Velvet Sky [1]
Victoria Justice [36]
Wailana Geisen [70]
Yvonne Strahovski [18]
Zoe Kazan [42]
2915 foto

18. #TheFappening
Android (in)Security

19. #TheFappening
Android (in)Security

20. #TheFappening
Android (in)Security

21. #TheFappening
Android (in)Security

22. #TheFappening
Android (in)Security

23. #TheFappening
Android (in)Security

24. #TheFappening
Android (in)Security

25. #TheFappening
Android (in)Security

26. #TheFappening
Android (in)Security

27. Cosa significa sicurezza?
Android (in)Security

28. Sicurezza fisica e reale
non sono la stessa cosa
Android (in)Security

29. Computer e cellulare sono simili
Android (in)Security
• Cpu multicore
• 1Gb+ RAM DDR3
• Grafica dedicata
• Accesso ad internet
• Applicazioni di terze parti

30. Computer e cellulare (non) sono simili
Android (in)Security
• Cpu multicore
• 1Gb+ RAM DDR3
• Grafica dedicata
• Accesso ad internet
• Applicazioni di terze parti
➔ Lo abbiamo SEMPRE con noi
➔ Lo teniamo SEMPRE acceso
➔ Lo lasciamo SEMPRE connesso
➔ È dotato di ogni tipo di sensore!
➔ Gestisce la nostra vita digitale

31. Computer e cellulare (non) sono simili
Android (in)Security
• Cpu multicore
• 1Gb+ RAM DDR3
• Grafica dedicata
• Accesso ad internet
• Applicazioni di terze parti
➔ Lo abbiamo SEMPRE con noi
➔ Lo teniamo SEMPRE acceso
➔ Lo lasciamo SEMPRE connesso
➔ È dotato di ogni tipo di sensore!
➔ Gestisce la nostra vita digitale
➔ Ogni tipo di informazione sensibile/compromettente prima o poi passa da lì

33. Android Security

34. Chi è il nemico?

35. Chi è il nemico?
Le applicazioni!

36. Le App sono in java ma non le esegue java

37. Le App sono in java ma non le esegue java
Java vs. Dalvik/ART

38. Java vs. Dalvik

39. Java vs. Dalvik
Dalvik non fa sandboxing

40. Java vs. Dalvik
Dalvik non fa sandboxing
E la sicurezza?

41. Java vs. Dalvik
Dalvik non fa sandboxing
E la sicurezza?
Ci pensa Linux

42. Android & Linux
Linux Android
Gestisce migliaia di utenti
Isola i processi (sandboxing(o quasi))
Isola le risorse (sistema di permessi)
Pensato per un solo utente
Si basa su Linux
Ad ogni applicazione viene assegnato un utente

43. Protezione del filesystem
/ e /system read-only
/data e /cache read-write
I files sono assegnati ai rispettivi utenti, e quindi alle rispettive applicazioni
Dal kernel si eredita la possibilità di gestire filesystem criptati (dm-crypt)

44. Cosa NON si può fare?

45. Cosa NON si può fare?
NON posso accedere ai files

46. Cosa NON si può fare?
NON posso accedere ai files
NON posso accedere alla rete

47. Cosa NON si può fare?
NON posso accedere ai files
NON posso accedere alla rete
NON posso (dis)installare/modificare applicazioni/risorse

48. Cosa NON si può fare?
NON posso accedere ai files
NON posso accedere alla rete
NON posso (dis)installare/modificare applicazioni/risorse
NON posso usare componenti di altre app

49. Cosa NON si può fare?
NON posso accedere ai files
NON posso accedere alla rete
NON posso (dis)installare/modificare applicazioni/risorse
NON posso usare componenti di altre app
NON posso accedere a SMS, Emails, Contatti e dati sensibili

50. Cosa NON si può fare?
NON posso accedere ai files
NON posso accedere alla rete
NON posso (dis)installare/modificare applicazioni/risorse
NON posso usare componenti di altre app
NON posso accedere a SMS, Emails, Contatti e dati sensibili
NON posso accedere a fotocamera, microfono o altri sensori

51. Cosa NON si può fare?
NON posso accedere ai files
NON posso accedere alla rete
NON posso (dis)installare/modificare applicazioni/risorse
NON posso usare componenti di altre app
NON posso accedere a SMS, Emails, Contatti e dati sensibili
NON posso accedere a fotocamera, microfono o altri sensori

52. Allora cos'è che posso fare?

53. Posso integrare e derivare e^x

54. Posso integrare e derivare e^x
Ma se uso troppo il processore vengo bloccato....

55. Posso accedere alle API

56. Posso accedere alle API
Ma anche no

57. Posso accedere alle API
Solo specificando quali

58. Posso accedere alle API
Solo specificando quali
E specificandolo prima dell'installazione

59. Ogni permesso ha
Nome
Gruppo
Livello
(Normal, Dangerous, Signature, SignatureOrSystem)

60. Ogni permesso ha
Nome
Gruppo
Livello
(Normal, Dangerous, Signature, SignatureOrSystem)
eclipse@android:/$ pm list permissions -s

61. Manifest.xml

62. Manifest.xml
<uses-permission android:name=”string” />

63. Manifest.xml
<uses-permission android:name=”string” />
L'anti-social network

64. Manifest.xml
<uses-permission android:name=”string” />
L'anti-social network
<uses-permission android:name=”android.permission.ACCESS_FINE_LOCATION” />
<uses-permission android:name=”android.permission.INTERNET” />
<uses-permission android:name=”android.permission.VIBRATE” />

65. Prima minaccia
Accesso al sensore di orientamento
Accesso all'archivio interno
Accesso alla footcamera
Accesso alla rete
Accesso ad SMS e registro chiamate

66. Prima minaccia
Accesso al sensore di orientamento
Accesso all'archivio interno
Accesso alla footcamera
Accesso alla rete
Accesso ad SMS e registro chiamate

67. Seconda minaccia
/data/system/packages.xml
Contiene i permessi concessi ad ogni apk installato

68. Terza minaccia
Accesso al sensore di orientamento
Accesso all'archivio interno
Accesso alla fotocamera
FrozenBussola.apk FrozenBrowser.apk
Accesso alla rete

69. Terza minaccia
Accesso al sensore di orientamento
Accesso all'archivio interno
Accesso alla fotocamera
FrozenBussola.apk FrozenBrowser.apk
Accesso alla rete
Stesso sviluppatore, stessa chiave, possibilmente stessi UID e GID

71. Privacy

72. Privacy
Il vostro smartphone sa dove siete

73. Privacy
Il vostro smartphone sa dove siete
Il vostro computer no

76. <iframe style=”visibility:hidden” onload=”alert('Belkin detected')”
src=”http://192.168.2.1/setup.cgi?next_file=wls_chan.html”></iframe>
<iframe style=”visibility:hidden” onload=”alert('FIOS detected')” src=”
http://192.168.1.1/index.cgi”></iframe>
<iframe style=”visibility:hidden” onload=”alert('D-Link detected')”
src=”http://192.168.0.1/Advanced/Virtual_Server.shtml”></iframe>
XXXSS

77. <iframe style=”visibility:hidden” onload=”alert('Belkin detected')”
src=”http://192.168.2.1/setup.cgi?next_file=wls_chan.html”></iframe>
<iframe style=”visibility:hidden” onload=”alert('FIOS detected')” src=”
http://192.168.1.1/index.cgi”></iframe>
<iframe style=”visibility:hidden” onload=”alert('D-Link detected')”
src=”http://192.168.0.1/Advanced/Virtual_Server.shtml”></iframe>
XXXSS

78. Privacy

79. Privacy

80. Privacy

81. Privacy

82. Jack Bauer style

83. Un momento....

84. Il mio telefono comunica con le celle

85. Ed ha anche il wifi

86. Ed anche il GPS

87. Altro che geolocalizzazione....

88. Altro che geolocalizzazione....

89. Ma non localizza solo me

90. Localizza anche chi mi sta intorno
Ma non localizza solo me

91. E la mia privacy?

92. Come difendersi?

93. Come difendersi?
Andando a vivere nel deserto

94. Come difendersi?
Andando a vivere nel deserto
Tenendo il cellulare in modalità aerea a vita

95. Come difendersi?
Andando a vivere nel deserto
Tenendo il cellulare in modalità aerea a vita
Cambiando approccio

96. Cambiare approccio

97. Se ti nascondi ti cercano
Cambiare approccio

98. L'assenza di un dato è evidente
Quanto la sua presenza
Cambiare approccio

99. Soluzione?

100. Spoofing
Soluzione?

101. Spoofing
Con un pizzico di umorismo

102. Spoofing

103. Spoofing

104. Spoofing

105. Spoofing

106. Spoofing

107. Spoofing
Con un pizzico di umorismo

109. GPG: 442CB088
Email: eclipse@frozenbox.org
Twitter @EclipseSpark
Per insulti