Budowanie i hakowanie nowoczesnych aplikacji iOS

www.securing.pl
Wojciech Reguła
Budowanie i hakowanie
nowoczesnych aplikacji iOS
@_r3ggi
wojciech.regula@securing.pl

www.securing.plwww.securing.pl
WHOAMI
-Starszy specjalista ds. Bezpieczeństwa IT
w SecuRing
-❤ iOS apps security
-Blogger https://wojciechregula.blog/
-Kontrybutor OWASP SKF
@_r3ggi wojciech.regula@securing.pl

WSTĘP

AGENDA
1. Platforma iOS – mity a rzeczywistość
2. Wybrane problemy i ich rozwiązania
3. Nowe funkcjonalności pokazane na WWDC zwiększające bezpieczeństwo
4. Moja nowa otwartoźródłowa biblioteka – iOS Security Suite 🚀
5. Długoterminowe i krótkoterminowe cele dla Twojego kodu

CZĘŚĆ 1
PLATFORMA IOS – MITY A
RZECZYWISTOŚĆ

MIT #1 PRZEGLĄD KODU APPLE-A
JEST W 100% MIARODAJNY
https://twitter.com/orhaneee/status/1076147994574184449

MIT #2 – NA NOWE WERSJE IOS-A
NIE MA JAILBREAKA
hAps://github.com/pwn20wndstuﬀ/Undecimus

MIT #3 – BRAK JAILBREAKA
UNIEMOŻLIWIA REVERSE APPEK

CZĘŚĆ 2
BEZPIECZNE WYTWARZANIE
OPROGRAMOWANIA

ARCHITEKTURA

SWIFT VS OBJECTIVE-C
-Integer overﬂow -> Runtime error
-Brak bezpośredniego dostępu do
pamięci (chyba, że używasz
UnsafePointer)
-Podatność typu format string
unieszkodliwiona przed
interpolację stringów

MIT – SWIFT SIĘ AUTOOBFUSKUJE
-Tu nie ma żadnej obfuskacji
-Swift używa dekorowania nazw
(ang. name mangling)

MIT – SWIFT SIĘ
AUTOOBFUSKUJE
-Klasa TestClass
-1 Zmienna instancji
-Konstruktor
-2 Metody

MIT – SWIFT SIĘ
AUTOOBFUSKUJE
- _$ Swift Symbol
- Długość i nazwa modułu
- Długość i nazwa klasy
- C funkcja klasy (metoda)
- Długość i nazwa metody
- Argumenty i zwracany typ

www.securing.plwww.securing.pl@_r3ggi wojciech.regula@securing.pl

MIT – METODY SWIFTA NIE MOGĄ
BYĆ MODYFIKOWANE
DYNAMICZNIE
-Mogą, np. z użyciem Fridy
-za pomocą przechwytywania
wywołań (ang. function
hooking)

MIT – METODY SWIFTA NIE MOGĄ
BYĆ MODYFIKOWANE DYNAMICZNIE

DEMO
HTTPS://VIMEO.COM/334861122

WNIOSKI
-Klasyczne podatności “binarne”
unieszkodliwione
-Brak bezpośredniego dostępu do
pamięci
-Obfuskacja ⬇
https://github.com/rockbruno/swiftshield

PRZECHOWYWANIE
DANYCH

DANE NA URZĄDZENIU
-Najbardziej popularnym problemem jest
przechowywanie danych, których nie powinno w ogóle
być na urządzeniu:
• Klucze API
• Klucze SSH
• Poświadczenia do chmury
• Konta testowe

DANE NA URZĄDZENIU
- Wrażliwe dane często są niebezpiecznie
przechowywane w:
•Info.plist
•User defaults
•Zwykłych plikach
•Zahardcodowane w pliku wykonywalnym
•Nawet w Keychainie – jeśli w ogóle nie
powinno ich być na urządzeniu!!

DANE NA URZĄDZENIU

DANE NA URZĄDZENIU
-Katalogi, które są archiwizowane podczas kopii zapasowej:
• Documents/
• Library/Application Support/
• Library/Preferences/
• Library/*
-Katalogi niearchiwizowane:
• Library/Caches/
• tmp/

CREDENTIAL PROVIDER
EXTENSION (WWDC 2018)
-Menedżery haseł w natywnych appkach
-Dodaj UITextContentType

WNIOSKI
-Nie przechowuj wrażliwych
danych w paczce aplikacji
-kSecAttrAccessibleWhen z
ThisDeviceOnly
-UIKit DataProtection
-Credential Provider

KRYPTOGRAFIA

KRYPTOGRAFIA
- Niebezpieczne generowanie tokenów
- Studium przypadku aplikacji Bear

https://wojciechregula.blog/post/stealing-bear-notes-with-url-schemes/

AUTOMATIC STRONG PASSWORDS
(WWDC 2018)
- Wspomniany wcześniej Autofill może generować hasła
skojarzone z Twoją domeną
- Możesz natywnie ustawić politykę generowania tych haseł!

WNIOSKI
-Ręcznie robione szyfry ❌
-Wszystko w 📦 jest
publiczne
-SecKeyCreateEncryptedData
zamiast zewnętrznych
AES/RSA
-Natywna polityka haseł

KOMUNIKACJA
SIECIOWA

NETWORK COMMUNICATION
-Unikaj HTTP
-Używaj HTTPS
-App Transport Security
-HTTPS -> sprawdź czy
certyfikat jest zaufany

KOMUNIKACJA NA
IOS

KOMUNIKACJA MIĘDZY-
APLIKACYJNA
-XPC (macOS, iOS zastrzeżona)
-Mach messages (macOS, iOS zastrzeżona)
-URL Schemes
-AirDrop
-Clipboard (proszę nie…)

WNIOSKI
-Zawsze weryﬁkuj nadawcę
-Sprawdzaj parametry
-Jeśli appka używa
WebView to sprawdź
uprawnienia

JAKOŚĆ KODU

JAKOŚĆ KODU
-Przestarzałe API
-Podatne biblioteki
-CocoaPods/Carthage ->
statycznie zdefiniowane
wersje

AFNetworking 2.5.1
pozwalała na tzw. Man
in The Middle gdy
aplikacja nie korzystała
z Certiﬁcate Pinningu

PRZESTARZAŁE UIWEBVIEW
(WWDC 2018)
-UIWebView ma dostęp do uchwytu ﬁle://
-WKWebView też o ile ustawisz odpowiednie
ﬂagi
-XSS ☠

DICTIONARY THAT LOOKS
YOU UP

DEMO
HTTPS://VIMEO.COM/334862417

PROBLEMY Z HELP VIEWER

PRZYKŁAD Z APPKĄ YAHOO OD @OMESPINO

ODPORNOŚĆ NA
ATAKI

PRZECIWDZIAŁANIE ATAKOM
Dla tych, którzy:
• Nie chcą, aby
ktoś ”majstrował” przy ich
aplikacji
• Rozważają malware jako
ryzyko
• Muszą być zgodni ze
standardem OWASP MASVS

BIBLIOTEKA IOS SECURITY SUITE
-Co wykrywa:
• Jailbreaka za pomocą
nowych wskaźników
• Podpięty debugger
• H4kerskie narzędzia (e.g.
Frida)
• Czy aplikacja jest
uruchomiona na
emulatorze

IOS
SECURITY
SUITE
LIBRARY
h"ps://github.com/securing/IOSSecuritySuite

CZĘŚĆ 3
PODSUMOWANIE

PODSUMOWANIE CZĘSTO
WYSTĘPUJĄCYCH PODATNOŚCI
-Archiwizacja poufnych danych
-Klucze/konta w paczce aplikacji
-Problemy sieciowe
-Podatne URL schemes
-Podatne, ustawione na sztywno biblioteki

MOJE REKOMENDACJE
-Krótkoterminowe
• Menedżery haseł & autoﬁll
• Przeciwdziałanie atakom w aplikacjach wysokiego
ryzyka
-Długoterminowe
• WKWebView
• Natywna polityka haseł
• Swift > Objective-C

Świadomi
Programiści
Pentesterzy
PROBLEMY BEZPIECZEŃSTWA

www.securing.pl
SecuRing
Kalwaryjska 65/6
30-504 Kraków, Poland
info@securing.pl
tel. +48 124252575
hJp://www.securing.biz/en
Dziękuję za uwagę,
Wojciech Reguła
wojciech.regula@securing.pl
@_r3ggi
wojciech-regula

Budowanie i hakowanie nowoczesnych aplikacji iOS

Recommended

Recommended

More Related Content

Similar to Budowanie i hakowanie nowoczesnych aplikacji iOS

Similar to Budowanie i hakowanie nowoczesnych aplikacji iOS (20)

More from SecuRing

More from SecuRing (20)

Budowanie i hakowanie nowoczesnych aplikacji iOS