webinar last
TRANSCRIPT
www.hackapp.com
Чем грозит мобильная революция Уязвимости мобильных приложений
www.hackapp.com
О чем мы будем говорить?
— Что такое мобильная революция
— Уязвимости мобильных приложений
— Подходы и инструменты для выявления проблем
www.hackapp.com
Что такое мобильная революция?
www.hackapp.com
Где мы сейчас ?
www.hackapp.com
Почему так произошло?
www.hackapp.com
Пользователи любят «здесь и сейчас»
— Социальные сети
— Картографические сервисы и локальный поиск
— Быстрые ответы
www.hackapp.com
Устройства становятся доступнее
— Плеер
— Навигатор
— Камера
— Сообщения
— Телефон
— Приближение к функционалу десктопа
Сколько же все это стоит ??
www.hackapp.com
www.hackapp.com
Мобильный интернет проще
— Не нужно кидать провод
— Всегда под рукой
www.hackapp.com
Любимые приложения
—Игры
—Видеосвязь
—Карты
www.hackapp.com
Телефон = Бумажник + Ключи
—Мобильные платежи
—2х факторная аутентификация
—Мобильный банкинг
www.hackapp.com
Множество абонентов, и что?
— Новые данные для маркетинговых исследований
— Определяются новые потребности
— Потребности монетизируется
www.hackapp.com
www.hackapp.com
Что за данные ?
—Социальный граф
—Координаты (GPS)
—MAC и IMEI
—Корреляция всего перечисленного
www.hackapp.com
Что дальше? Internet of things !
www.hackapp.com
Базовые угрозы “You wanted to be a genie?
You got it and everything what goes with it !” Aladdin
www.hackapp.com
Scope
www.hackapp.com
«Облачная» сторона iOS
—Постоянное подключение
—Удаленное управление
—Закрытый протокол
—Backup в icloud
—Приватность «держится» на appleid
www.hackapp.com
«Облачная» сторона Android
—Автоматическая установка любых приложение из google play
—Управляется через учётную запись в Google
www.hackapp.com
Корневые сертификаты iOS Android
www.hackapp.com
Обновления в Android
—Приложения постоянно лезут обновляться, расширяя права
—ОС может не обновляться вообще (зависит от модели)
—Закрытый исходный код прошивок
www.hackapp.com
Вы не хозяин – вы пользователь
www.hackapp.com
Как выглядит нападающий ?
www.hackapp.com
Что мы защищаем?
—Данные на устройстве ● Вредоносное ПО
● Физический доступ
—Данные передаваемые по сети ● Пассивный перехват
● Активный перехват
www.hackapp.com
Нападающий может
—Может контролировать канал (MITM)
—Может получить физический доступ к устройству (без спецсредств)
—Может установить свое приложение на устройстве
—Имеет доступ к дистрибутивам приложений, которыми пользуется пользователь
www.hackapp.com
Нападающий НЕ может
—Использовать уязвимости ОС
—Не имеет привилегированного доступа к СA
—Не использует социальную инженерию
—Не имеет привилегированного доступа к облачной стороне ОС (icloud,play)
www.hackapp.com
Что такое мобильное приложение?
www.hackapp.com
Дистрибутив – ZIP архив
—Ресурсы (картинки, аудио, строки)
—Код в бинарном виде
—Мета-данные (подписи, сертификаты и пр)
—????
www.hackapp.com
Что такое DRM и зачем? (Digital rights management)
—Шифрование кода с привязкой к устройству
—Не позволяет копировать приложение между устройствам
www.hackapp.com
Какими ресурсами располагает приложение?
—Работает с неразделяемым хранилищем
—Работает с разделяемым хранилищем
—Работает с сетевыми сокетами
—Взаимодействует с другими приложениями
www.hackapp.com
Поверхность атаки
www.hackapp.com
Ошибки в архитектуре. «Общественная» аутентификация
www.hackapp.com
www.hackapp.com
www.hackapp.com
Amazon cloud token
www.hackapp.com
Внутри облака
www.hackapp.com
Файлы
www.hackapp.com
Координаты
www.hackapp.com
Итог
—Amazon отозвал ключи – приложение отключилось
—Выкатка новой версии в AppStore занимает ~7 дней
—Фрустрация пользователей
www.hackapp.com
Ошибки в архитектуре Аутентификация на клиенте
www.hackapp.com
www.hackapp.com
Файлы
www.hackapp.com
Один VPN на всех
www.hackapp.com
Итог
—Бесплатный VPN всем желающим за счёт MarblesSecurity
www.hackapp.com
Ошибки при сохранении данных Случай с Telegram
www.hackapp.com
Android – кеширование чата на SD
www.hackapp.com
Android – кеширование чата на SD
www.hackapp.com
Android – Итог
—Секретный чат кешируется на SD, т.е. доступен любому приложению, т.к.
www.hackapp.com
iOS – история в открытом виде
www.hackapp.com
iOS – история в открытом виде в backup
www.hackapp.com
iOS – Итог
—Секретный чат сохраняется в открытом виде
—BackUp выполняется в iCloud автоматически
—Из iCloud BackUp скачивается с помощью AppleID, пароль к которому можно
● Сфишить
● Подобрать
www.hackapp.com
Артефакты разработки
www.hackapp.com
Следы DEV-среды
—Cсылки на тестинг
—Ссылки на отладочные интерфейсы
—Следы систем контроля версий
www.hackapp.com
Что-нибудь удивительное
—Исходники
—Приватные ключи
— … да все что угодно
www.hackapp.com
Остатки dev-данных в SQLite
www.hackapp.com
Data Leak в логах приложения
www.hackapp.com
Data Leak - syslog
www.hackapp.com
Data Leak – Crash Dumps
www.hackapp.com
Использование сторонних компонентов
www.hackapp.com
"Titanium is an open-source framework that allows the creation of mobile apps on platforms including iOS, Android, Windows Phone, BlackBerry OS, and Tizen from a single JavaScript codebase".
http://www.securify.nl/advisory/SFY20140301/nss_2014_affected_by_remote_code_execution
___insecure_certificate_validation.html “ As it seems, there are various situations in which Titanium will use insecure
connections. Due to this, it is more likely for developers to create an insecure app than one that does validate server certificates ”
www.hackapp.com
—OpenSSL 1.0.0e ● CVE-2011-3207
● CVE-2011-3210
www.hackapp.com
Итог
—Можно оказаться в заложниках у тех, кого безопасность не интересует
www.hackapp.com
Уязвимости в механизмах взаимодействия приложений
www.hackapp.com
iOS Android
— scheme:// — scheme://
— Content Provider
— Service
— Receiver
www.hackapp.com
Scheme://
Автоматический вызов приложения с параметрами в ссылке:
<iframe src="facetime-audio://[email protected]"></iframe>
CVE-2013-6835
www.hackapp.com
Content Provider
Предоставляет интерфейс, для чтения заданных данных одного приложения другим
— SQL инъекции
— Некорректная настройка доступа к данным
Может эксплуатироваться вредоносным ПО, написанным под конкретные приложения
www.hackapp.com
ContentProvider
Хороший Пример инъекции в приложение eBay:
https://viaforensics.com/mobile-security/ebay-android-content-provider-injection-vulnerability.html
www.hackapp.com
Service и Receiver
— Service ● Работа с данными, пока приложение отключено
— Receiver ● «хук» на системное событие, которое запускает приложение (например, получение SMS)
Может эксплуатироваться вредоносным ПО, написанным под конкретные приложения
www.hackapp.com
Итог
—Приватные данные будут доступны стороннему ПО
—Можно столкнуться с вредоносным ПО написанным под конкретное приложение
www.hackapp.com
Безопасность канала
www.hackapp.com
MITM+Sniff
— Нет шифрования
— Нет контроля подлинности сертификата
— Утечка данных через сторонние библиотеки
www.hackapp.com
«Утечка» GPS координат в Telegram
www.hackapp.com
«Утечка» GPS координат в Telegram
www.hackapp.com
«Облачная» сторона (API)
www.hackapp.com
Что это?
—HTTP(S) (в большинстве случаев)
—Все server-side уязвимости веб-приложений ● SQLi
● XXE
● RCE
● ….
www.hackapp.com
Анализ безопасности
www.hackapp.com
Динамический
Изучение реакции программы на атаки по факту
—Ручной
—На устройстве
—Требует индивидуального подхода
—Самый дорогой
www.hackapp.com
Статический
Поиск сигнатур уязвимостей
—Автоматизируется
—Вне устройства
—Требует базы сигнатур
—Много ошибок вида False Positive
—Дешевле
www.hackapp.com
Инструменты статического анализа
www.hackapp.com
Анализ дистрибутива
—Скрипты с использованием Zip,awk,grep,sqlite3 и т.п.
—HackApp – all-in-one сервис + декомпилятор Android
● Поиск по сигнатурам в бинарных структурах
● Поиск подозрительных файлов
● Анализ манифеста приложения
www.hackapp.com
Анализ бинарного кода
iOS Android
— Снятие DRM https://github.com/KJCracks/Clutch
— Определение списка Objective-C классов https://code.google.com/p/networkpx/wiki/class_dump_z
— Дизассемблер https://www.hex-rays.com/products/ida/
— Декомпиляция http://jd.benow.ca/
— Деобфускатор https://github.com/fileoffset/JDO
— Инструментация https://code.google.com/p/android-apktool
www.hackapp.com
Инструменты динамического анализа
www.hackapp.com
iOS Android
— GDB https://github.com/KJCracks/Clutch
— Mobile Substrate http://iphonedevwiki.net/index.php/MobileSubstrate
— Mallory SSL Proxy https://intrepidusgroup.com/insight/mallory/
— Jailbreak http://evasi0n.com/
— VBOX+ANDROID http://habrahabr.ru/post/119931/
— Android x86 https://code.google.com/p/android-x86/downloads/list
— Mallory SSL Proxy https://intrepidusgroup.com/insight/mallory/
— Drozer https://github.com/mwrlabs/drozer
www.hackapp.com
Поддержка приложения
—План поддержки
—Возможность патча
—Регулярный анализ новых версий
www.hackapp.com
Насколько сложно нападать? Smartphone Pentest Framework
www.hackapp.com
—Заражение приложений
—Сбор информации
—Проксирование нападения
—Совместимость с Metasploit http://www.bulbsecurity.com/smartphone-pentest-framework/spf-user-guide/ https://github.com/georgiaw/Smartphone-Pentest-Framework
www.hackapp.com
www.hackapp.com
Спасибо за внимание Вопросы?
@hackappcom