SlideShare une entreprise Scribd logo

Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»

Yandex
Yandex

Научно-технический семинар «Android и iOS: безопасность мобильных приложений» в московском офисе Яндекса, 7 марта 2013 г. Юрий Леонычев, администратор ИБ, Яндекс.

1  sur  36
Télécharger pour lire hors ligne
Безопасность приложений для Android Юрий Леонычев Администратор информационной безопасности
Безопасность мобильных устройств
4
Характерные черты • Миниатюрность • Массовость • Универсальность • Содержат массу важных для вас данных • Постоянно в сети GPRS/3G/EDGE/LTE/WiFi 5
Новые риски. Миниатюрность Легко потерять 6
Новые риски. Массовость {Много устройств} x {Беспечность пользователей} x {Быстрая монетизация} = PROFIT!!! 7
Новые риски. Универсальность Почта Игры Фото Телефон Диктофон Видео 8 Навигатор
Новые риски. Личные данные • Телефонная книга • Сообщения и письма • Фотографии и видео • Логины, пароли, токены • OTP-генераторы 9
Новые риски. Всегда в сети Выход в интернет и сотовые сети в режиме ~24x7 10
Гонки на выживание • Взрывное развитие рынка • Несколько доминирующих платформ • Десятки производителей • Миллионы приложений • Миллиарды устройств 11
Безопасность внутри Andorid
Ограничение доступа. Блокировка экрана • PIN • Пароль • Биометрия • Росчерк 13
Модель безопасности для приложений • Уникальный UID (почти всегда) • Отдельный процесс (почти всегда) • Изолированная виртуальная машина • Нединамические привилегии 14
Защита файловой системы • Использование системных разделов в режим read-only • Расстановка привилегий и прав в файловых системах • Шифрование разделов (Android 3.x) 15
Пример init-скрипта Init.rc для Android 4.x: ... # create data/gps for GPS demon mkdir /data/gps 771 gps system chown gps system /data/gps chown gps root /sys/class/sec/gps/GPS_PWR_EN/value chmod 660 /sys/class/sec/gps/GPS_PWR_EN/value # for sensor control chown system input /sys/class/input/input0/enable chown system input /sys/class/input/input0/delay chown system input /sys/class/input/input0/wake chown system input /sys/class/input/input0/data ... 16
Хранилище сертификатов Часть дампа /system/etc/security/cacerts.bks для Android 4.x: ... Alias name: 123 Creation date: 30.08.2011 Entry type: trustedCertEntry Owner: C=JP,O=Japanese Government,OU=ApplicationCA Issuer: C=JP,O=Japanese Government,OU=ApplicationCA Serial number: 31 Valid from: Wed Dec 12 18:00:00 MSK 2007 until: Tue Dec 12 19:00:00 MSK 2017 ... 17
Привилегии — это удобно Важные вызовы API требуют специальных разрешений: • Доступ к камере • Геолокация • Доступ к Bluetooth • Функции для работы с сообщениями • Функции для работы с телефонией • Функции для работы с сетями 18
Привилегии — это сложно • Только некоторые из разрешений полностью документированы • Четкого сопоставления API вызовов и разрешений не существует • http://www.android-permissions.org 19
Пользователи и Andorid
Dumb way to break safety • Jailbreaking • Простые пароли • Странные приложения • Включенный режим отладки 21
Dumb way to break safety • Приложения, скачанные из недоверенных источников • Взломанные веб-серверы 22
Разработчики и Andorid
Как видят свое приложение разработчики? Сферическое приложение в вакууме Пользователь 24
А как на самом деле? Операционная система Среда исполнения и библиотеки Пользователь Framework Приложение1 ? Сервер Злоумышленник ПриложениеN 25
Проблемы на низком уровне • Уязвимости ядра операционной системы • Уязвимости драйверов и библиотек • Уязвимости в ПО вендоров. Пример: Samsung Galaxy S2, Galaxy S3, Galaxy Note 2, и т. д. /dev/exynos-mem = /dev/mem http://clck.ru/8atEO 26
Проблемы приложения • Используются нешифрованные и общедоступные хранилища ( MODE_WORLD_*, /mnt/sdcard) • Передача данных по открытым каналам (HTTP, AllowAllHostnameVerifier) • Отсутствие санитизации пользовательского ввода • Использование WebView (OWASP T10) • Передача чувствительных данных в лог-файлы 27
Проблемы приложения. Точки входа Intent BroadcastReceiver Service Activity Application ContentProvider ContentResolver 28
Анализ контент-провайдеров
Сделай сам • Попробуем проанализировать защищенность контент-провайдеров • MWR Mercury http://labs.mwrinfosecurity.com/tools/2012/03/ 16/mercury/ • CPA https://github.com/tracer0tong/cpa 30
CPA PackageManager Providers Privileges Content CPA Data Provider 31
32 Выберем контент-провайдер
33 SQL injection
34 Содержимое таблицы
35 Другие неожиданности
Юрий Леонычев Администратор информационной безопасности yleonychev@yandex-team.ru @tracer0tong Спасибо

Recommandé

Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практике
Positive Hack Days
 
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеDevice Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Positive Hack Days
 
Eugene Kulik & Pavel Kryvko - Executable Code Protection in ARM Systems
Eugene Kulik & Pavel Kryvko - Executable Code Protection in ARM SystemsEugene Kulik & Pavel Kryvko - Executable Code Protection in ARM Systems
Eugene Kulik & Pavel Kryvko - Executable Code Protection in ARM Systems
NoNameCon
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
Dmitry Evteev
 
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Expolink
 
Популярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиПопулярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схеми
Avivi Academy
 
Сергей Федоров (Eset) "Современный уровень безопасности корпоративной сети".
Сергей Федоров (Eset) "Современный уровень безопасности корпоративной сети".Сергей Федоров (Eset) "Современный уровень безопасности корпоративной сети".
Сергей Федоров (Eset) "Современный уровень безопасности корпоративной сети".
Expolink
 

Recommandé

Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практике
Positive Hack Days
 
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеDevice Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Positive Hack Days
 
Eugene Kulik & Pavel Kryvko - Executable Code Protection in ARM Systems
Eugene Kulik & Pavel Kryvko - Executable Code Protection in ARM SystemsEugene Kulik & Pavel Kryvko - Executable Code Protection in ARM Systems
Eugene Kulik & Pavel Kryvko - Executable Code Protection in ARM Systems
NoNameCon
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
Dmitry Evteev
 
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Expolink
 
Популярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиПопулярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схеми
Avivi Academy
 
Сергей Федоров (Eset) "Современный уровень безопасности корпоративной сети".
Сергей Федоров (Eset) "Современный уровень безопасности корпоративной сети".Сергей Федоров (Eset) "Современный уровень безопасности корпоративной сети".
Сергей Федоров (Eset) "Современный уровень безопасности корпоративной сети".
Expolink
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Expolink
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
Expolink
 
Целевые атаки: прицелься первым
Целевые атаки: прицелься первымЦелевые атаки: прицелься первым
Целевые атаки: прицелься первым
Positive Hack Days
 
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Andrey Beshkov
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
Dmitry Evteev
 
Опыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахОпыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банках
Айдар Гилязов
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Expolink
 
SafeNet Authentication Manager - Двухфакторная аутентификация
SafeNet Authentication Manager - Двухфакторная аутентификацияSafeNet Authentication Manager - Двухфакторная аутентификация
SafeNet Authentication Manager - Двухфакторная аутентификация
Daria Kovalenko
 
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Ontico
 
Доктор Веб - Почему в информационной безопасности ничего не меняется?
Доктор Веб - Почему в информационной безопасности ничего не меняется?Доктор Веб - Почему в информационной безопасности ничего не меняется?
Доктор Веб - Почему в информационной безопасности ничего не меняется?
Expolink
 
E set-современный уровень безопасности3
E set-современный уровень безопасности3E set-современный уровень безопасности3
E set-современный уровень безопасности3
Expolink
 
Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Defcon Moscow
 
Доверенные аппаратные платформы
Доверенные аппаратные платформыДоверенные аппаратные платформы
Доверенные аппаратные платформы
Ancud Ltd.
 
Технология «Защищенный тонкий клиент»
Технология «Защищенный тонкий клиент»Технология «Защищенный тонкий клиент»
Технология «Защищенный тонкий клиент»
Ancud Ltd.
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar Security
 
ESET. Одиссей Гаврилов. "ESET. Просто. Удобно. Надежно. "
ESET. Одиссей Гаврилов. "ESET. Просто. Удобно. Надежно. "ESET. Одиссей Гаврилов. "ESET. Просто. Удобно. Надежно. "
ESET. Одиссей Гаврилов. "ESET. Просто. Удобно. Надежно. "
Expolink
 
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
UralCIO
 
Аппаратные средства защиты информации
Аппаратные средства защиты информацииАппаратные средства защиты информации
Аппаратные средства защиты информации
Ancud Ltd.
 
Обзор решений со встроенными средствами защиты от нсд
Обзор решений со встроенными средствами защиты от нсдОбзор решений со встроенными средствами защиты от нсд
Обзор решений со встроенными средствами защиты от нсд
Ancud Ltd.
 
Любовь Поволоцкая_Сборка Android-приложений с помощью Gradle
Любовь Поволоцкая_Сборка Android-приложений с помощью GradleЛюбовь Поволоцкая_Сборка Android-приложений с помощью Gradle
Любовь Поволоцкая_Сборка Android-приложений с помощью Gradle
GeeksLab Odessa
 
Михаил Давыдов - JavaScript. Асинхронность
Михаил Давыдов - JavaScript. АсинхронностьМихаил Давыдов - JavaScript. Асинхронность
Михаил Давыдов - JavaScript. Асинхронность
Yandex
 

Contenu connexe

Tendances

Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Expolink
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
Expolink
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
Dmitry Evteev
 
E set-современный уровень безопасности3
E set-современный уровень безопасности3E set-современный уровень безопасности3
E set-современный уровень безопасности3
Expolink
 
Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Defcon Moscow
 
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
UralCIO
 

Tendances (20)

Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
 
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
 
Целевые атаки: прицелься первым
Целевые атаки: прицелься первымЦелевые атаки: прицелься первым
Целевые атаки: прицелься первым
 
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
 
Опыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахОпыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банках
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
 
SafeNet Authentication Manager - Двухфакторная аутентификация
SafeNet Authentication Manager - Двухфакторная аутентификацияSafeNet Authentication Manager - Двухфакторная аутентификация
SafeNet Authentication Manager - Двухфакторная аутентификация
 
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
 
Доктор Веб - Почему в информационной безопасности ничего не меняется?
Доктор Веб - Почему в информационной безопасности ничего не меняется?Доктор Веб - Почему в информационной безопасности ничего не меняется?
Доктор Веб - Почему в информационной безопасности ничего не меняется?
 
E set-современный уровень безопасности3
E set-современный уровень безопасности3E set-современный уровень безопасности3
E set-современный уровень безопасности3
 
Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
 
Доверенные аппаратные платформы
Доверенные аппаратные платформыДоверенные аппаратные платформы
Доверенные аппаратные платформы
 
Технология «Защищенный тонкий клиент»
Технология «Защищенный тонкий клиент»Технология «Защищенный тонкий клиент»
Технология «Защищенный тонкий клиент»
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
ESET. Одиссей Гаврилов. "ESET. Просто. Удобно. Надежно. "
ESET. Одиссей Гаврилов. "ESET. Просто. Удобно. Надежно. "ESET. Одиссей Гаврилов. "ESET. Просто. Удобно. Надежно. "
ESET. Одиссей Гаврилов. "ESET. Просто. Удобно. Надежно. "
 
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
 
Аппаратные средства защиты информации
Аппаратные средства защиты информацииАппаратные средства защиты информации
Аппаратные средства защиты информации
 
Обзор решений со встроенными средствами защиты от нсд
Обзор решений со встроенными средствами защиты от нсдОбзор решений со встроенными средствами защиты от нсд
Обзор решений со встроенными средствами защиты от нсд
 

En vedette

Любовь Поволоцкая_Сборка Android-приложений с помощью Gradle
Любовь Поволоцкая_Сборка Android-приложений с помощью GradleЛюбовь Поволоцкая_Сборка Android-приложений с помощью Gradle
Любовь Поволоцкая_Сборка Android-приложений с помощью Gradle
GeeksLab Odessa
 
Automotive navigation system
Automotive navigation systemAutomotive navigation system
Automotive navigation system
Naveen Sihag
 
hsvo1-RecordOfAchievement
hsvo1-RecordOfAchievementhsvo1-RecordOfAchievement
hsvo1-RecordOfAchievement
Stanley M. John
 
Project Management Experience - Rossouw van Schalkwyk
Project Management Experience - Rossouw van SchalkwykProject Management Experience - Rossouw van Schalkwyk
Project Management Experience - Rossouw van Schalkwyk
Rossouw Van Schalkwyk
 

En vedette (11)

Любовь Поволоцкая_Сборка Android-приложений с помощью Gradle
Любовь Поволоцкая_Сборка Android-приложений с помощью GradleЛюбовь Поволоцкая_Сборка Android-приложений с помощью Gradle
Любовь Поволоцкая_Сборка Android-приложений с помощью Gradle
 
Михаил Давыдов - JavaScript. Асинхронность
Михаил Давыдов - JavaScript. АсинхронностьМихаил Давыдов - JavaScript. Асинхронность
Михаил Давыдов - JavaScript. Асинхронность
 
Bachelor Tech
Bachelor TechBachelor Tech
Bachelor Tech
 
Automotive navigation system
Automotive navigation systemAutomotive navigation system
Automotive navigation system
 
hsvo1-RecordOfAchievement
hsvo1-RecordOfAchievementhsvo1-RecordOfAchievement
hsvo1-RecordOfAchievement
 
Open Source Study Session #3
Open Source Study Session #3Open Source Study Session #3
Open Source Study Session #3
 
Library Assignment
Library AssignmentLibrary Assignment
Library Assignment
 
Presentación módulo 3
Presentación módulo 3Presentación módulo 3
Presentación módulo 3
 
Taller practico 10 nina sánchez
Taller practico 10 nina sánchezTaller practico 10 nina sánchez
Taller practico 10 nina sánchez
 
Project Management Experience - Rossouw van Schalkwyk
Project Management Experience - Rossouw van SchalkwykProject Management Experience - Rossouw van Schalkwyk
Project Management Experience - Rossouw van Schalkwyk
 
BizgazeBrochure
BizgazeBrochureBizgazeBrochure
BizgazeBrochure
 

Similaire à Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»

Емельянников_Безопасность электронного бизнеса
Емельянников_Безопасность электронного бизнесаЕмельянников_Безопасность электронного бизнеса
Емельянников_Безопасность электронного бизнеса
Mikhail Emeliyannikov
 
Безопасная сервис-ориентированная архитектура на примере голосового управлени...
Безопасная сервис-ориентированная архитектура на примере голосового управлени...Безопасная сервис-ориентированная архитектура на примере голосового управлени...
Безопасная сервис-ориентированная архитектура на примере голосового управлени...
Positive Hack Days
 
Как защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдераКак защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдера
Denis Bezkorovayny
 
конфидент
конфидентконфидент
конфидент
Expolink
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
qqlan
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
Cisco Russia
 
Юрий Василевский "Автоматизация в XCode"
Юрий Василевский "Автоматизация в XCode"Юрий Василевский "Автоматизация в XCode"
Юрий Василевский "Автоматизация в XCode"
Yandex
 
Юрий Василевский «Автоматизация в XCode»
Юрий Василевский «Автоматизация в XCode»Юрий Василевский «Автоматизация в XCode»
Юрий Василевский «Автоматизация в XCode»
Yandex
 
Андрей Сибирёв "Ваше собственное облако — война за независимость"
Андрей Сибирёв "Ваше собственное облако — война за независимость"Андрей Сибирёв "Ваше собственное облако — война за независимость"
Андрей Сибирёв "Ваше собственное облако — война за независимость"
Yandex
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
ebuc
 
Wargaming.net: Архитектура современных 3D движков
Wargaming.net: Архитектура современных 3D движковWargaming.net: Архитектура современных 3D движков
Wargaming.net: Архитектура современных 3D движков
DevGAMM Conference
 

Similaire à Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика» (20)

Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Емельянников_Безопасность электронного бизнеса
Емельянников_Безопасность электронного бизнесаЕмельянников_Безопасность электронного бизнеса
Емельянников_Безопасность электронного бизнеса
 
Безопасная сервис-ориентированная архитектура на примере голосового управлени...
Безопасная сервис-ориентированная архитектура на примере голосового управлени...Безопасная сервис-ориентированная архитектура на примере голосового управлени...
Безопасная сервис-ориентированная архитектура на примере голосового управлени...
 
Опыт повышения доступности ключевых банковских ИТ-систем
Опыт повышения доступности ключевых банковских ИТ-системОпыт повышения доступности ключевых банковских ИТ-систем
Опыт повышения доступности ключевых банковских ИТ-систем
 
безопасность использования электронной подписи
безопасность использования электронной подписибезопасность использования электронной подписи
безопасность использования электронной подписи
 
Как защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдераКак защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдера
 
конфидент
конфидентконфидент
конфидент
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Nikita Galkin "5 production Node.js stories"
Nikita Galkin "5 production Node.js stories"Nikita Galkin "5 production Node.js stories"
Nikita Galkin "5 production Node.js stories"
 
Ключевые риски и лучшие практики информационной безопасности при переходе в о...
Ключевые риски и лучшие практики информационной безопасности при переходе в о...Ключевые риски и лучшие практики информационной безопасности при переходе в о...
Ключевые риски и лучшие практики информационной безопасности при переходе в о...
 
Юрий Василевский "Автоматизация в XCode"
Юрий Василевский "Автоматизация в XCode"Юрий Василевский "Автоматизация в XCode"
Юрий Василевский "Автоматизация в XCode"
 
Юрий Василевский «Автоматизация в XCode»
Юрий Василевский «Автоматизация в XCode»Юрий Василевский «Автоматизация в XCode»
Юрий Василевский «Автоматизация в XCode»
 
Андрей Сибирёв "Ваше собственное облако — война за независимость"
Андрей Сибирёв "Ваше собственное облако — война за независимость"Андрей Сибирёв "Ваше собственное облако — война за независимость"
Андрей Сибирёв "Ваше собственное облако — война за независимость"
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 
Wargaming.net: Архитектура современных 3D движков
Wargaming.net: Архитектура современных 3D движковWargaming.net: Архитектура современных 3D движков
Wargaming.net: Архитектура современных 3D движков
 

Plus de Yandex

Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...
Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...
Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...
Yandex
 
Структурированные данные, Юлия Тихоход, лекция в Школе вебмастеров Яндекса
Структурированные данные, Юлия Тихоход, лекция в Школе вебмастеров ЯндексаСтруктурированные данные, Юлия Тихоход, лекция в Школе вебмастеров Яндекса
Структурированные данные, Юлия Тихоход, лекция в Школе вебмастеров Яндекса
Yandex
 
Представление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров Яндекса
Представление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров ЯндексаПредставление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров Яндекса
Представление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров Яндекса
Yandex
 
Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...
Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...
Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...
Yandex
 
Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...
Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...
Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...
Yandex
 
Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...
Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...
Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...
Yandex
 
Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...
Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...
Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...
Yandex
 
Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...
Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...
Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...
Yandex
 
Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...
Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...
Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...
Yandex
 
Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...
Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...
Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...
Yandex
 
Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...
Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...
Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...
Yandex
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
 
Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...
Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...
Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...
Yandex
 
Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...
Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...
Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...
Yandex
 
Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...
Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...
Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...
Yandex
 
Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...
Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...
Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...
Yandex
 
Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...
Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...
Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...
Yandex
 
Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...
Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...
Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...
Yandex
 
Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...
Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...
Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...
Yandex
 

Plus de Yandex (20)

Предсказание оттока игроков из World of Tanks
Предсказание оттока игроков из World of TanksПредсказание оттока игроков из World of Tanks
Предсказание оттока игроков из World of Tanks
 
Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...
Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...
Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...
 
Структурированные данные, Юлия Тихоход, лекция в Школе вебмастеров Яндекса
Структурированные данные, Юлия Тихоход, лекция в Школе вебмастеров ЯндексаСтруктурированные данные, Юлия Тихоход, лекция в Школе вебмастеров Яндекса
Структурированные данные, Юлия Тихоход, лекция в Школе вебмастеров Яндекса
 
Представление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров Яндекса
Представление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров ЯндексаПредставление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров Яндекса
Представление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров Яндекса
 
Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...
Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...
Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...
 
Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...
Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...
Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...
 
Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...
Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...
Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...
 
Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...
Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...
Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...
 
Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...
Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...
Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...
 
Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...
Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...
Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...
 
Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...
Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...
Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...
 
Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...
Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...
Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...
Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...
Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...
 
Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...
Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...
Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...
 
Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...
Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...
Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...
 
Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...
Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...
Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...
 
Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...
Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...
Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...
 
Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...
Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...
Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...
 
Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...
Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...
Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...
 

Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»

  • 1.
  • 4. 4
  • 5. Характерные черты • Миниатюрность • Массовость • Универсальность • Содержат массу важных для вас данных • Постоянно в сети GPRS/3G/EDGE/LTE/WiFi 5
  • 7. Новые риски. Массовость {Много устройств} x {Беспечность пользователей} x {Быстрая монетизация} = PROFIT!!! 7
  • 8. Новые риски. Универсальность Почта Игры Фото Телефон Диктофон Видео 8 Навигатор
  • 9. Новые риски. Личные данные • Телефонная книга • Сообщения и письма • Фотографии и видео • Логины, пароли, токены • OTP-генераторы 9
  • 10. Новые риски. Всегда в сети Выход в интернет и сотовые сети в режиме ~24x7 10
  • 11. Гонки на выживание • Взрывное развитие рынка • Несколько доминирующих платформ • Десятки производителей • Миллионы приложений • Миллиарды устройств 11
  • 13. Ограничение доступа. Блокировка экрана • PIN • Пароль • Биометрия • Росчерк 13
  • 14. Модель безопасности для приложений • Уникальный UID (почти всегда) • Отдельный процесс (почти всегда) • Изолированная виртуальная машина • Нединамические привилегии 14
  • 15. Защита файловой системы • Использование системных разделов в режим read-only • Расстановка привилегий и прав в файловых системах • Шифрование разделов (Android 3.x) 15
  • 16. Пример init-скрипта Init.rc для Android 4.x: ... # create data/gps for GPS demon mkdir /data/gps 771 gps system chown gps system /data/gps chown gps root /sys/class/sec/gps/GPS_PWR_EN/value chmod 660 /sys/class/sec/gps/GPS_PWR_EN/value # for sensor control chown system input /sys/class/input/input0/enable chown system input /sys/class/input/input0/delay chown system input /sys/class/input/input0/wake chown system input /sys/class/input/input0/data ... 16
  • 17. Хранилище сертификатов Часть дампа /system/etc/security/cacerts.bks для Android 4.x: ... Alias name: 123 Creation date: 30.08.2011 Entry type: trustedCertEntry Owner: C=JP,O=Japanese Government,OU=ApplicationCA Issuer: C=JP,O=Japanese Government,OU=ApplicationCA Serial number: 31 Valid from: Wed Dec 12 18:00:00 MSK 2007 until: Tue Dec 12 19:00:00 MSK 2017 ... 17
  • 18. Привилегии — это удобно Важные вызовы API требуют специальных разрешений: • Доступ к камере • Геолокация • Доступ к Bluetooth • Функции для работы с сообщениями • Функции для работы с телефонией • Функции для работы с сетями 18
  • 19. Привилегии — это сложно • Только некоторые из разрешений полностью документированы • Четкого сопоставления API вызовов и разрешений не существует • http://www.android-permissions.org 19
  • 21. Dumb way to break safety • Jailbreaking • Простые пароли • Странные приложения • Включенный режим отладки 21
  • 22. Dumb way to break safety • Приложения, скачанные из недоверенных источников • Взломанные веб-серверы 22
  • 24. Как видят свое приложение разработчики? Сферическое приложение в вакууме Пользователь 24
  • 25. А как на самом деле? Операционная система Среда исполнения и библиотеки Пользователь Framework Приложение1 ? Сервер Злоумышленник ПриложениеN 25
  • 26. Проблемы на низком уровне • Уязвимости ядра операционной системы • Уязвимости драйверов и библиотек • Уязвимости в ПО вендоров. Пример: Samsung Galaxy S2, Galaxy S3, Galaxy Note 2, и т. д. /dev/exynos-mem = /dev/mem http://clck.ru/8atEO 26
  • 27. Проблемы приложения • Используются нешифрованные и общедоступные хранилища ( MODE_WORLD_*, /mnt/sdcard) • Передача данных по открытым каналам (HTTP, AllowAllHostnameVerifier) • Отсутствие санитизации пользовательского ввода • Использование WebView (OWASP T10) • Передача чувствительных данных в лог-файлы 27
  • 28. Проблемы приложения. Точки входа Intent BroadcastReceiver Service Activity Application ContentProvider ContentResolver 28
  • 30. Сделай сам • Попробуем проанализировать защищенность контент-провайдеров • MWR Mercury http://labs.mwrinfosecurity.com/tools/2012/03/ 16/mercury/ • CPA https://github.com/tracer0tong/cpa 30
  • 31. CPA PackageManager Providers Privileges Content CPA Data Provider 31
  • 32. 32 Выберем контент-провайдер
  • 33. 33 SQL injection
  • 34. 34 Содержимое таблицы
  • 35. 35 Другие неожиданности
  • 36. Юрий Леонычев Администратор информационной безопасности yleonychev@yandex-team.ru @tracer0tong Спасибо