Contenu connexe
Similaire à Android smartphones und sicherheit (20)
Plus de Digicomp Academy AG (20)
Android smartphones und sicherheit
- 1. Hacking Day 2012 – Future Security
Android Smartphones und Sicherheit
Tobias Ellenberger - COO & Co-Partner - OneConsult GmbH
© 2012 OneConsult GmbH 14. Juni 2012
www.oneconsult.com
- 2. Agenda
Agenda
→ Vorstellung
→ Android OS
→ Sicherheitsanalyse
→ Security Suites für Android
→ Fazit
© 2012 OneConsult GmbH 2
www.oneconsult.com
- 3. Vorstellung
Über mich
→ Tobias Ellenberger
→ Ausbildung als Mediamatiker
→ Stetige Weiterbildung in den Bereichen Security,
Netzwerk, Microsoft
→ Seit 2002 in den Bereichen Consulting und
Engineering tätig
→ COO & Co-Partner der OneConsult GmbH
© 2012 OneConsult GmbH 3
www.oneconsult.com
- 4. Vorstellung
OneConsult GmbH
→ IT Security Consulting & strategische Beratung
→ Kein Verkauf von Hard- und Software
→ Kunden
◦ Hunderte Unternehmen und Konzerne in Europa und Übersee
◦ tätig in allen Branchen
→ Kompetenz
◦ mehr als 500 technische Security Audits (davon 450 OSSTMM
konform)
◦ Dutzende konzeptionelle Projekte
→ Standorte
◦ Schweiz: Hauptsitz in Thalwil
◦ Deutschland: Büro in München
◦ Österreich: Büro in Wien
© 2012 OneConsult GmbH 4
www.oneconsult.com
- 5. Vorstellung
Unsere Dienstleistungen
→ Security Audits → Incident Response
◦ Security Scan ◦ Emergency Response
◦ Penetration Test ◦ Computer Forensics
◦ Application Security Audit
◦ Ethical Hacking
◦ Social Engineering → Training & Coaching
◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse
◦ Practical Security Scanning
→ Consulting ◦ Secure Software Development
◦ Strategy & Organisation ◦ Coaching
◦ Policies & Guidelines
◦ Processes & Documentation → Security as a Service
◦ Business Continuity & Disaster Recovery
◦ Engineering & Project Management
© 2012 OneConsult GmbH 5
www.oneconsult.com
- 6. Agenda
Agenda
→ Vorstellung
→Android OS
→ Sicherheitsanalyse
→ Security Suites für Android
→ Fazit
© 2012 OneConsult GmbH 6
www.oneconsult.com
- 7. Android OS
Was ist das Android OS?
→ Betriebssystem für mobile Endgeräte
→ Entwickelt von Google und Open Handset Alliance
→ Basierend auf Linux Kernel
→ Anwendungen werden mittels Java entwickelt
→ Anwendungen laufen in einer virtuellen Instanz
→ Bestehende Funktionen durch Applikationen erweitern
→ Grundlegende Sicherheitsfunktionen
◦ ...dazu später
© 2012 OneConsult GmbH 7
www.oneconsult.com
- 8. Android OS
Android OS: Architektur
Architekturdarstellung von Google
© 2012 OneConsult GmbH 8
www.oneconsult.com
- 9. Android OS
Android OS: Technischer Stand
→ Was wurde aus der „PC-OS-Vergangenheit“ gelernt?
◦ Sandboxing
◦ Least Privileges (Berechtigungskonzepte)
◦ Unterschiedliche Ansätze zwischen Android OS, iOS und Windows
Phone
› Open Source vs. Closed Source
› Google Play, App Store etc.
› Updatekonzepte
Fazit:
Die Security-Grundlagen und Erfahrungen sind in die
Entwicklung mit eingeflossen…
… unter Berücksichtigung der eigenen Interessen
© 2012 OneConsult GmbH 9
www.oneconsult.com
- 10. Agenda
Agenda
→ Vorstellung
→ Android OS
→Sicherheitsanalyse
→ Security Suites für Android
→ Fazit
© 2012 OneConsult GmbH 10
www.oneconsult.com
- 11. Sicherheitsanalyse
Sicherheitsanalyse: Sicherheitsfunktionen...
→ Kernel
→ Sandboxing
→ Rechteverwaltung
→ Bildschirmsperre
→ Google Play – ex Android Market (Gtalk Service)
→ Faktor Mensch
© 2012 OneConsult GmbH 11
www.oneconsult.com
- 12. Sicherheitsanalyse
Sicherheitsanalyse: Kernel
→ Linux Kernel ja / nein?
→ Gut gepflegte Software (Analyse von Coverty)
→ Daraus folgt:
Linux ist eine gute Basis für das Entwickeln eines sicheren
Produktes
→ Jon Oberheide: «Schweizer Käse»
◦ Linux bietet eine hervorragende Angriffsfläche
◦ Praxis: z.B. Rooting
© 2012 OneConsult GmbH 12
www.oneconsult.com
- 13. Sicherheitsanalyse
Sicherheitsanalyse: Sandboxing
→ Prinzip: Applikation hat keinen Zugriff auf eine andere
Anwendung oder auf das System
→ Bekannt von Linux und Windows (UAC)
→ Aber:
◦ Dateisystem
› Ab Android 2.3 Ext4 (vorher YAFFS)
› Auf SD-Karten FAT
◦ Shared User ID’s
→ Kleines Beispiel…
◦ Fun-Foto App (Zugriff Bilder)
◦ Game (Zugriff Internet für High-Score)
© 2012 OneConsult GmbH 13
www.oneconsult.com
- 14. Sicherheitsanalyse
Sicherheitsanalyse: Rechteverwaltung
→ Erlaubt Kommunikation zwischen Anwendungen
→ Aufweichen des Sicherheitsmechanismus
→ Vier Schutzstufen
◦ «normal»
◦ «dangerous»
◦ «signature»
◦ «signatureOrSystem»
→ Schwächen der Rechteverwaltung
◦ Es gibt nur JA oder NEIN
◦ Sehr global gefasste Berechtigungen
› android.permission.INTERNET
› android.permission.WRITE_EXTERNAL_STORAGE
© 2012 OneConsult GmbH 14
www.oneconsult.com
- 15. Sicherheitsanalyse
Sicherheitsanalyse: Bildschirmsperre
→ Passwort sinnvoll für den Schutz des Smartphones
→ Folgende Möglichkeiten:
© 2012 OneConsult GmbH 15
www.oneconsult.com
- 16. Sicherheitsanalyse
Sicherheitsanalyse: Google Play
→ Applikationen erweitern die Funktionen des Smartphones
→ Benutzerbasierte Kontrolle des Inhalts
→ Bouncer (Malwarekontrolle – seit 2011)
◦ Summercon Juni 2012
→ Jeder kann für $25 Applikationen veröffentlichen
(auch anonym)
→ Apps müssen signiert werden; selbst signiertes Zertifikat für
den Benutzer-Account
→ Seit Februar 2011: Installation von Apps via Browser möglich
© 2012 OneConsult GmbH 16
www.oneconsult.com
- 17. Sicherheitsanalyse
…und wie sie ausgenutzt werden
→ Kernel
◦ Rooting (z.B. rage against the cage)
› Beispiel: 23.01.2012 (http://www.heise.de/security/meldung/Linux-
Root-Rechte-durch-Speicherzugriff-1419608.html)
◦ Anwendungsbeispiel:
Android Hax von Jon Oberheide (Twilight:Eclipse App)
© 2012 OneConsult GmbH 17
www.oneconsult.com
- 18. Sicherheitsanalyse
Android Hax (Funktion)
Root Exploit
http://jon.oberheide.org/rootstrap/index
© 2012 OneConsult GmbH 18
www.oneconsult.com
- 19. Sicherheitsanalyse
Android Hax (Verbreitung)
→ Über 200 Downloads
in weniger als 24h
→ Reaktion:
Remote Wipe
© 2012 OneConsult GmbH 19
www.oneconsult.com
- 20. Sicherheitsanalyse
…und wie sie ausgenutzt werden
→ Kernel
◦ Rooting (z.B. rage against the cage)
› Aktuelles Beispiel: 23.01.2012
◦ Anwendungsbeispiel:
Android Hax von Jon Oberheide (Twilight:Eclipse App)
→ Sandboxing
◦ Cross Application Scripting
◦ Shared User-ID
→ Rechteverwaltung
◦ Eigene Berechtigungen…
© 2012 OneConsult GmbH 20
www.oneconsult.com
- 21. ...und wie sie ausgenutzt werden
Rechteverwaltung (Beispiel)
(1) Password-Safe (2) Google Play (3)Password-Gen
- Kein Internet - Top Rating - Internet Zugriff
- pw.exchange - X Downloads - pw.exchange
© 2012 OneConsult GmbH 21
www.oneconsult.com
- 22. Sicherheitsanalyse
…und wie sie ausgenutzt werden
→ Kernel
◦ Rooting (z.B. rage against the cage)
› Beispiel: 23.01.2012
◦ Anwendungsbeispiel:
Android Hax von Jon Oberheide (Twilight:Eclipse App)
→ Sandboxing
◦ Cross Application Scripting
→ Rechteverwaltung
◦ Eigene Berechtigungen…
◦ «exported attribute»
→ Google Play (Gtalk Service)
© 2012 OneConsult GmbH 22
www.oneconsult.com
- 24. Sicherheitsanalyse
Google Play (Gtalk Service)
→ Apps werden nicht über die Google Play App installiert
→ Die App wird mittels C2DM-Server gepusht
→ Google hat mindestens folgende Funktionen zur Verfügung:
◦ INSTALL_ASSET (App installieren)
◦ REMOVE_ASSET (App entfernen)
› Twilight Eclipse App
› DroidDream-Trojaner
→ Was wenn jemand die Google Server «übernimmt» ?!?
© 2012 OneConsult GmbH 24
www.oneconsult.com
- 25. Sicherheitsanalyse
Sicherheitsanalyse: Faktor Mensch
→ «JA Klick» - Syndrom
→ «Ich will» - Syndrom
→ «KLDAZL» - Syndrom
→ «DGMNA» - Syndrom
© 2012 OneConsult GmbH 25
www.oneconsult.com
- 26. Agenda
Agenda
→ Über OneConsult GmbH & me
→ Android OS
→ Sicherheitsanalyse
→Security Suites für Android
→ Fazit
© 2012 OneConsult GmbH 26
www.oneconsult.com
- 27. Security Suites
Security Suites
→ Hersteller
◦ Neue Hersteller z.B. Lookout spezialisiert auf Mobile Security
◦ Die meisten namhaften Hersteller von AV-Software für PC’s
→ Nutzen
◦ Schutz vor Malware, Phishing, Datenverlust und Diebstahl
◦ Erweiterte / zusätzliche Funktionen für das Smartphone
→ Funktionen
◦ Malware Scanner
◦ Backup & Locator Dienste
◦ Datenschutz
◦ Div. Sperr und Filterfunktionen
© 2012 OneConsult GmbH 27
www.oneconsult.com
- 28. Security Suites
Security Suites
→ Gegen was helfen Security Suites wirklich?
◦ Ergänzung der Schutzfunktionen vom Smartphone
◦ Erkennen von bestehenden / bekannten Gefahren
→ Was Security Suites nicht können
◦ Neue Angriffe erkennen
◦ «Intelligente» Angriffe verhindern
◦ Menschliches Verhalten ändern
◦ Entwickler sensibilisieren (Vergabe von Rechten)
→ Fazit:
◦ Sinnvolle Ergänzung zum Betriebssystem
◦ Falsches Sicherheitsgefühl
◦ Die bekannten AV-Hersteller sind bei den Tests vorne dabei
© 2012 OneConsult GmbH 28
www.oneconsult.com
- 29. Agenda
Agenda
→ Über OneConsult GmbH & me
→ Android OS
→ Sicherheitsanalyse
→ Security Suites für Android
→Fazit
© 2012 OneConsult GmbH 29
www.oneconsult.com
- 30. Fazit
Fazit
→ Modernes Betriebssystem
→ Berücksichtigung von Sicherheitsaspekten
→ Es gilt zu beachten
◦ Attraktiv für Angriffe (Verbreitung, Daten)
◦ Langsame Updates / Automatische Updates
◦ Kein Vertrauen in Google Play
→ Eignet sich Android für den geschäftlichen Einsatz?
◦ Auch andere Smartphones haben Probleme
◦ Mobile Device Management (MDM)
◦ Einschränken der Gerätetypen (Update Aufwand)
→ XMV
© 2012 OneConsult GmbH 30
www.oneconsult.com
- 31. © 2012 OneConsult GmbH
www.oneconsult.com
Danke für Ihre Aufmerksamkeit! Fragen?
Tobias Ellenberger
Mediamatiker EFZ, MCITP, OPST & OPSA
COO & Co-Partner
tobias.ellenberger@oneconsult.com
+41 79 314 25 25
Hauptsitz Büro Deutschland Büro Österreich
OneConsult GmbH Niederlassung der OneConsult GmbH Niederlassung der OneConsult GmbH
Schützenstrasse 1 Karlstraße 35 Wienerbergstraße 11/12A
8800 Thalwil 80333 München 1100 Wien
Schweiz Deutschland Österreich
Tel +41 43 377 22 22 Tel +49 89 452 35 25 25 Tel +43 1 99460 64 69
Fax +41 43 377 22 77 Fax +49 89 452 35 21 10 Fax +43 1 99460 50 00
info@oneconsult.com info@oneconsult.de info@oneconsult.at
© 2012 OneConsult GmbH
www.oneconsult.com