www.hackapp.com

Чем грозит мобильная революция Уязвимости мобильных приложений

www.hackapp.com

О чем мы будем говорить?

— Что такое мобильная революция

— Уязвимости мобильных приложений

— Подходы и инструменты для выявления проблем

www.hackapp.com

Что такое мобильная революция?

www.hackapp.com

Где мы сейчас ?

www.hackapp.com

Почему так произошло?

www.hackapp.com

Пользователи любят «здесь и сейчас»

— Социальные сети

— Картографические сервисы и локальный поиск

— Быстрые ответы

www.hackapp.com

Устройства становятся доступнее

— Плеер

— Навигатор

— Камера

— Сообщения

— Телефон

— Приближение к функционалу десктопа

Сколько же все это стоит ??

www.hackapp.com

www.hackapp.com

Мобильный интернет проще

— Не нужно кидать провод

— Всегда под рукой

www.hackapp.com

Любимые приложения

—Игры

—Видеосвязь

—Карты

www.hackapp.com

Телефон = Бумажник + Ключи

—Мобильные платежи

—2х факторная аутентификация

—Мобильный банкинг

www.hackapp.com

Множество абонентов, и что?

— Новые данные для маркетинговых исследований

— Определяются новые потребности

— Потребности монетизируется

www.hackapp.com

www.hackapp.com

Что за данные ?

—Социальный граф

—Координаты (GPS)

—MAC и IMEI

—Корреляция всего перечисленного

www.hackapp.com

Что дальше? Internet of things !

www.hackapp.com

Базовые угрозы “You wanted to be a genie?

You got it and everything what goes with it !” Aladdin

www.hackapp.com

Scope

www.hackapp.com

«Облачная» сторона iOS

—Постоянное подключение

—Удаленное управление

—Закрытый протокол

—Backup в icloud

—Приватность «держится» на appleid

www.hackapp.com

«Облачная» сторона Android

—Автоматическая установка любых приложение из google play

—Управляется через учётную запись в Google

www.hackapp.com

Корневые сертификаты iOS Android

www.hackapp.com

Обновления в Android

—Приложения постоянно лезут обновляться, расширяя права

—ОС может не обновляться вообще (зависит от модели)

—Закрытый исходный код прошивок

www.hackapp.com

Вы не хозяин – вы пользователь

www.hackapp.com

Как выглядит нападающий ?

www.hackapp.com

Что мы защищаем?

—Данные на устройстве ● Вредоносное ПО

● Физический доступ

—Данные передаваемые по сети ● Пассивный перехват

● Активный перехват

www.hackapp.com

Нападающий может

—Может контролировать канал (MITM)

—Может получить физический доступ к устройству (без спецсредств)

—Может установить свое приложение на устройстве

—Имеет доступ к дистрибутивам приложений, которыми пользуется пользователь

www.hackapp.com

Нападающий НЕ может

—Использовать уязвимости ОС

—Не имеет привилегированного доступа к СA

—Не использует социальную инженерию

—Не имеет привилегированного доступа к облачной стороне ОС (icloud,play)

www.hackapp.com

Что такое мобильное приложение?

www.hackapp.com

Дистрибутив – ZIP архив

—Ресурсы (картинки, аудио, строки)

—Код в бинарном виде

—Мета-данные (подписи, сертификаты и пр)

—????

www.hackapp.com

Что такое DRM и зачем? (Digital rights management)

—Шифрование кода с привязкой к устройству

—Не позволяет копировать приложение между устройствам

www.hackapp.com

Какими ресурсами располагает приложение?

—Работает с неразделяемым хранилищем

—Работает с разделяемым хранилищем

—Работает с сетевыми сокетами

—Взаимодействует с другими приложениями

www.hackapp.com

Поверхность атаки

www.hackapp.com

Ошибки в архитектуре. «Общественная» аутентификация

www.hackapp.com

www.hackapp.com

www.hackapp.com

Amazon cloud token

www.hackapp.com

Внутри облака

www.hackapp.com

Файлы

www.hackapp.com

Координаты

www.hackapp.com

Итог

—Amazon отозвал ключи – приложение отключилось

—Выкатка новой версии в AppStore занимает ~7 дней

—Фрустрация пользователей

www.hackapp.com

Ошибки в архитектуре Аутентификация на клиенте

www.hackapp.com

www.hackapp.com

Файлы

www.hackapp.com

Один VPN на всех

www.hackapp.com

Итог

—Бесплатный VPN всем желающим за счёт MarblesSecurity

www.hackapp.com

Ошибки при сохранении данных Случай с Telegram

www.hackapp.com

Android – кеширование чата на SD

www.hackapp.com

Android – кеширование чата на SD

www.hackapp.com

Android – Итог

—Секретный чат кешируется на SD, т.е. доступен любому приложению, т.к.

www.hackapp.com

iOS – история в открытом виде

www.hackapp.com

iOS – история в открытом виде в backup

www.hackapp.com

iOS – Итог

—Секретный чат сохраняется в открытом виде

—BackUp выполняется в iCloud автоматически

—Из iCloud BackUp скачивается с помощью AppleID, пароль к которому можно

● Сфишить

● Подобрать

www.hackapp.com

Артефакты разработки

www.hackapp.com

Следы DEV-среды

—Cсылки на тестинг

—Ссылки на отладочные интерфейсы

—Следы систем контроля версий

www.hackapp.com

Что-нибудь удивительное

—Исходники

—Приватные ключи

— … да все что угодно

www.hackapp.com

Остатки dev-данных в SQLite

www.hackapp.com

Data Leak в логах приложения

www.hackapp.com

Data Leak - syslog

www.hackapp.com

Data Leak – Crash Dumps

www.hackapp.com

Использование сторонних компонентов

www.hackapp.com

"Titanium is an open-source framework that allows the creation of mobile apps on platforms including iOS, Android, Windows Phone, BlackBerry OS, and Tizen from a single JavaScript codebase".

http://www.securify.nl/advisory/SFY20140301/nss_2014_affected_by_remote_code_execution

___insecure_certificate_validation.html “ As it seems, there are various situations in which Titanium will use insecure

connections. Due to this, it is more likely for developers to create an insecure app than one that does validate server certificates ”

www.hackapp.com

—OpenSSL 1.0.0e ● CVE-2011-3207

● CVE-2011-3210

www.hackapp.com

Итог

—Можно оказаться в заложниках у тех, кого безопасность не интересует

www.hackapp.com

Уязвимости в механизмах взаимодействия приложений

www.hackapp.com

iOS Android

— scheme:// — scheme://

— Content Provider

— Service

— Receiver

www.hackapp.com

Scheme://

Автоматический вызов приложения с параметрами в ссылке:

<iframe src="facetime-audio://user@host.com"></iframe>

CVE-2013-6835

www.hackapp.com

Content Provider

Предоставляет интерфейс, для чтения заданных данных одного приложения другим

— SQL инъекции

— Некорректная настройка доступа к данным

Может эксплуатироваться вредоносным ПО, написанным под конкретные приложения

www.hackapp.com

ContentProvider

Хороший Пример инъекции в приложение eBay:

https://viaforensics.com/mobile-security/ebay-android-content-provider-injection-vulnerability.html

www.hackapp.com

Service и Receiver

— Service ● Работа с данными, пока приложение отключено

— Receiver ● «хук» на системное событие, которое запускает приложение (например, получение SMS)

Может эксплуатироваться вредоносным ПО, написанным под конкретные приложения

www.hackapp.com

Итог

—Приватные данные будут доступны стороннему ПО

—Можно столкнуться с вредоносным ПО написанным под конкретное приложение

www.hackapp.com

Безопасность канала

www.hackapp.com

MITM+Sniff

— Нет шифрования

— Нет контроля подлинности сертификата

— Утечка данных через сторонние библиотеки

www.hackapp.com

«Утечка» GPS координат в Telegram

www.hackapp.com

«Утечка» GPS координат в Telegram

www.hackapp.com

«Облачная» сторона (API)

www.hackapp.com

Что это?

—HTTP(S) (в большинстве случаев)

—Все server-side уязвимости веб-приложений ● SQLi

● XXE

● RCE

● ….

www.hackapp.com

Анализ безопасности

www.hackapp.com

Динамический

Изучение реакции программы на атаки по факту

—Ручной

—На устройстве

—Требует индивидуального подхода

—Самый дорогой

www.hackapp.com

Статический

Поиск сигнатур уязвимостей

—Автоматизируется

—Вне устройства

—Требует базы сигнатур

—Много ошибок вида False Positive

—Дешевле

www.hackapp.com

Инструменты статического анализа

www.hackapp.com

Анализ дистрибутива

—Скрипты с использованием Zip,awk,grep,sqlite3 и т.п.

—HackApp – all-in-one сервис + декомпилятор Android

● Поиск по сигнатурам в бинарных структурах

● Поиск подозрительных файлов

● Анализ манифеста приложения

www.hackapp.com

Анализ бинарного кода

iOS Android

— Снятие DRM https://github.com/KJCracks/Clutch

— Определение списка Objective-C классов https://code.google.com/p/networkpx/wiki/class_dump_z

— Дизассемблер https://www.hex-rays.com/products/ida/

— Декомпиляция http://jd.benow.ca/

— Деобфускатор https://github.com/fileoffset/JDO

— Инструментация https://code.google.com/p/android-apktool

www.hackapp.com

Инструменты динамического анализа

www.hackapp.com

iOS Android

— GDB https://github.com/KJCracks/Clutch

— Mobile Substrate http://iphonedevwiki.net/index.php/MobileSubstrate

— Mallory SSL Proxy https://intrepidusgroup.com/insight/mallory/

— Jailbreak http://evasi0n.com/

— VBOX+ANDROID http://habrahabr.ru/post/119931/

— Android x86 https://code.google.com/p/android-x86/downloads/list

— Mallory SSL Proxy https://intrepidusgroup.com/insight/mallory/

— Drozer https://github.com/mwrlabs/drozer

www.hackapp.com

Поддержка приложения

—План поддержки

—Возможность патча

—Регулярный анализ новых версий

www.hackapp.com

Насколько сложно нападать? Smartphone Pentest Framework

www.hackapp.com

—Заражение приложений

—Сбор информации

—Проксирование нападения

—Совместимость с Metasploit http://www.bulbsecurity.com/smartphone-pentest-framework/spf-user-guide/ https://github.com/georgiaw/Smartphone-Pentest-Framework

www.hackapp.com

www.hackapp.com

Спасибо за внимание Вопросы?

@hackappcom

amt@hackapp.com