2012 11-07-owasp mobile top10 v01

The OWASP Foundationhttp://www.owasp.org

Applica'on*Security*Forum*3*2012*Western'Switzerland'

'708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'h?ps://www.appsec0forum.ch'

OWASP Top10 Mobile Risks

Sébastien GioriaOWASP France Leader

OWASP Global Education Committee

Saturday, November 10, 12

CISA && ISO 27005 Risk Manager

http://www.google.fr/#q=sebastien gioria

‣OWASP France Leader & Founder - Evangéliste‣OWASP Global Education Comittee Member (sebastien.gioria@owasp.org)

‣Responsable de la branche Audit S.I et Sécurité au sein du cabinet Groupe Y

Twitter :@SPoint

‣+13 ans d’expérience en Sécurité des Systèmes d’Information‣Différents postes de manager SSI dans la banque, l’assurance et les télécoms‣Expertise Technique - PenTesting,- Secure-SDLC- Gestion du risque, Architectures fonctionnelles, Audits- Consulting et Formation en Réseaux et Sécurité

‣Responsable du Groupe Sécurité des Applications Web au CLUSIF

CISA && ISO 27005 Risk Manager

http://www.google.fr/#q=sebastien gioria

‣OWASP France Leader & Founder - Evangéliste‣OWASP Global Education Comittee Member (sebastien.gioria@owasp.org)

‣Responsable de la branche Audit S.I et Sécurité au sein du cabinet Groupe Y

Twitter :@SPoint

‣+13 ans d’expérience en Sécurité des Systèmes d’Information‣Différents postes de manager SSI dans la banque, l’assurance et les télécoms‣Expertise Technique - PenTesting,- Secure-SDLC- Gestion du risque, Architectures fonctionnelles, Audits- Consulting et Formation en Réseaux et Sécurité

‣Responsable du Groupe Sécurité des Applications Web au CLUSIF

Top 10 Risques

'708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'h?ps://www.appsec0forum.ch' 4

Top 10 Risques• Vision multi-plateforme :

• Android, IOS, Nokia, Windows, ...

• Focus sur les risques plutôt que les vulnérabilités.

• Utilisation de l’OWASP Risk Rating Methodology pour le classement

• https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology

Les 10 risquesRisque

M1 - Stockage de données non sécurisé

M2 - Contrôles serveur défaillants

M3 - Protection insuffisante lors du transport de données

M4 - Injection client

M5 - Authentification et habilitation defaillante

M6 - Mauvaise gestion des sessions

M7- Utilisation de données d’entrée pour effectuer des décisions sécurité.

M8 - Perte de données via des canaux cachés

M9 - Chiffrement défectueux

M10 - Perte d’information sensible

• Les données sensibles ne sont pas protégées

• S’applique aux données locales, tout comme celles disponibles dans le cloud

• Généralement du à :

• Défaut de chiffrement des données

• Cache de données qui n’est pas généralement prévu

• Permissions globales ou faibles

• Non suivi des bonnes pratiques de la plateforme

Impact• Perte de

confidentialité sur les données

• Divulgation d’authentifiants

• Violation de vie privée

• Non-compliance

M1 - Prévention

1. Ne stocker que ce qui est réellement nécessaire

M1 - Prévention

2. Ne jamais stocker de données sur des éléments publics (SD-Card...)

M1 - Prévention

3. Utiliser les APIs de chiffrement et les conteneurs sécurisés fournis par la plateforme.

M1 - Prévention

3. Utiliser les APIs de chiffrement et les conteneurs sécurisés fournis par la plateforme.

4. Ne pas donner des droits en “world writeable” ou “world readable”

M2- Contrôles serveur défaillants

• S’applique uniquement aux services de backend.

• Non spécifique aux mobiles.

• Il n’est pas plus facile de faire confiance au client.

• Il est nécessaire de revoir les contrôles actuels classiques.

Impact

• Perte de confidentialité sur des données

• Perte d’intégrité sur des données

M2 - Contrôles serveur défaillants

OWASP Top 10

• https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

OWASP Cloud Top 10

• https://www.owasp.org/images/4/47/Cloud-Top10-Security-Risks.pdf

M2- Prévention

1. Comprendre les nouveaux risques induits par les applications mobiles sur les architectures existantes

M2- Prévention

3. OWASP Top 10, Cloud Top 10, Web Services Top 10

M2- Prévention

5. Voir les Cheat sheets, guides de développement, l’ESAPI

• Perte complète de chiffrement des données transmises.

• Faible chiffrement des données transmises.

• Fort chiffrement, mais oubli des alertes sécurité

• Ignorer les erreurs de validation de certificats

• Retour en mode non chiffré après erreurs

Impact

• Attacks MITM

• Modification des données transmises

• Perte de confidentialité

Exemple : Protocole d’authentification des clients Google

• L’entete d’authentification est envoyé sur HTTP

• Lorsqu’un utilisateur se connecte via un WIFI, l’application automatiquement envoie le jeton dans le but de synchroniser les données depuis le serveur.

• Il suffit d’écouter le réseau et de voler cet élément pour usurper l’identité

• http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html

M3 - Prévention

1. Vérifier que les données sensibles quittent l’appareil chiffrées.

M3 - Prévention

2. Quelque soit les données et les réseaux : Wifi, NFC( coucou Renaud :) ), GSM, ....

M3 - Prévention

2. Quelque soit les données et les réseaux : Wifi, NFC( coucou Renaud :) ), GSM, ....

3. Ne pas ignorer les erreurs de sécurité !

M4- Injection Client

• Utilisation des fonctions de navigateurs dans les applications

• Apps pure Web

• Apps hybrides

• On retrouve les vulnérabilités connues

• Injection XSS et HTML

• SQL Injection

• Des nouveautés interessantes• Abus d’appels et de SMS

• Abus de paiements ?

Impact

• Compromission de l’appareil

• Fraude à l’appel

• Augmentation de privilèges

XSS Acces aux SMS

M4 - Prévention

1. Valider les données d’entrée avant utilisation

M4 - Prévention

2. Nettoyer les données en sortie avant affichage.

M4 - Prévention

3. Utilisation des requetes paramétrées (correctement ! ) pour les appels bases de données.

M4 - Prévention

3. Utilisation des requetes paramétrées (correctement ! ) pour les appels bases de données.

4. Minimiser les capacités/privilèges des applications hybrides Web.

M5- Authentification et habilitation defaillante

• 50% du a des problèmes d’architecture, 50% du à des problèmes du mobile

• Certaines applications se reposent uniquement sur des éléments théoriquement inchangeables, mais pouvant être compromis (IMEI, IMSI, UUID)

• Les identifiants matériels persistent apres les resets ou les nettoyages de données.

• De l’information contextuelle ajoutée, est utile, mais pas infaillible.

Impact

• Elevation de Privileges

• Accès non autorisé.

M5- Authentification et habilitation defaillante

M5 - Prevention

1. De l’information contextuelle peut améliorer les choses, mais uniquement en cas d’implementation d’authentification multi-facteur.

M5 - Prevention

2. Impossible de faire du “Out-of-band” sur le même matériel (eg SMS...)

M5 - Prevention

2. Impossible de faire du “Out-of-band” sur le même matériel (eg SMS...)

3. Ne jamais utiliser l’ID machine ou l’ID opérateur (subscriber ID), comme élément unique d’authentification.

M6 - Mauvaise gestion des sessions

• Les sessions applicatives mobiles sont généralement plus longues que sur une application normale.

• Dans un but de facilité d’utilisation

• Parceque le réseau est plus “lent” et moins “sur”

• Le maintien de session applicative se fait via

• HTTP cookies

• OAuth tokens

• SSO authentication services

• Très mauvaise idée d’utiliser l’ID matériel comme identification de session.

Impact

• Elévation de privilèges.

• Accès non autorisé.

• Contournement des licenses et des éléments de paiements

M6- Prévention

1. Ne pas avoir peur de redemander aux utilisateurs de se ré-authentifier plus souvent.

M6- Prévention

2. S’assurer que les ID/token peuvent rapidement être révoqués en cas de perte.

M6- Prévention

2. S’assurer que les ID/token peuvent rapidement être révoqués en cas de perte.

3. Utiliser des outils de gestion des sessions éprouvés

• Peut être exploité pour passer outre les permissions et les modèles de sécurité.

• Globalement similaires sur les différentes plateformes

• Des vecteurs d’attaques importants

• Applications malveillantes

• Injection client

Impact

• Utilisation de ressources payantes.

• Exfiltration de données

• Elevation de privilèges.

Exemple : gestion de skype dans l’URL sur IOS...

• http://software-security.sans.org/blog/2010/11/08/insecure-handling-url-schemes-apples-ios/

M7- Prévention

1. Vérifier les permissions lors de l’utilisation de données d’entrée.

M7- Prévention

2. Demander à l’utilisateur une confirmation avant l’utilisation de fonctions sensibles.

M7- Prévention

2. Demander à l’utilisateur une confirmation avant l’utilisation de fonctions sensibles.

3. Lorsqu’il n’est pas possible de vérifier les permissions, s’assurer via une étape additionnelle du lancement de la fonction sensible.

M8- Perte de données via des canaux cachés

• Mélange de fonctionnalités de la plateforme et de failles de programmation.

• Les données sensibles se trouvent un peu partout. ou l’on ne s’attend pas....

• Web caches

• Logs de clavier...

• Screenshots

• Logs (system, crash)

• Répertoires temporaires.

• Faire attention a ce que font les librairies tierces avec les données utilisateurs( publicité, analyse, ...)

Impact

• Perte définitive de données.

• Violation de la vie privée.

M8- Perte de données via des canaux cachés

Logging

Screenshots

M8- Prévention

M8- Prévention1. Ne jamais stocker des authentifiants/passwds ou d’autres

informations sensibles dans les logs.

2. Supprimer les données sensibles avant les screenshots, utiliser les capacités des caches pour les contenu des applications Web, ...

3. Debugger avec attention les applications avant mise en production pour vérifier les fichiers produits, modifiés, lus, ....

4. Porter une attention particulière aux librairies tierces.

5. Tester les applications sur différentes versions de la plateforme....

M9- Chiffrement défectueux

• 2 catégories importantes

• Implémentations défectueuses via l’utilisation de librairies de chiffrement.

• Implementations personnelles de chiffrement....

• Bien se rappeler les bases !!!

• Codage (Base64) != chiffrement

• Obfuscation != chiffrement

• Serialization != chiffrement

• Vous vous appelez Bruce ?

Impact• Perte de

confidentialité.

• Elevation de privilèges

• Contournement de la logique métier.

M9- Chiffrement défectueux

ldc literal_876:"QlVtT0JoVmY2N2E=”invokestatic byte[] decode( java.lang.String ) // Base 64invokespecial_lib java.lang.String.<init> // pc=2astore 8

private final byte[] com.picuploader.BizProcess.SendRequest.routine_12998 (com.picuploader.BizProcess.SendRequest, byte[], byte[] ); { enter new_lib net.rim.device.api.crypto.TripleDESKey

M9- Prévention

1. Stocker la clef et les données chiffrées n’est pas correct.

M9- Prévention

2. Il vaut mieux utiliser des librairies connues de chiffrement que sa propre librairie....

M9- Prévention

2. Il vaut mieux utiliser des librairies connues de chiffrement que sa propre librairie....

3. Utiliser les avantages éventuels de la plateforme !

Dark side ?

41Saturday, November 10, 12

M10- Perte d’information sensible

• M10(enfoui dans le matériel) est différent de M1 (stocké)

• Il est assez simple de faire du reverse-engineer sur des applications mobiles...

• L’obfuscation de code ne supprime pas le risque.

• Quelques informations classiques trouvées :

• clefs d’API

• Passwords

• Logique métier sensible.

Impact

• Perte d’authentifiants

• Exposition de propriété intellectuelle ?

M10- Perte d’information sensible

M10- Prévention

1. Les clefs d’API privées portent bien leur nom. Il ne faut pas les stocker sur le client.

M10- Prévention

2. Si il existe une logique métier propriétaire, il convient de la faire executée par le serveur !

M10- Prévention

2. Si il existe une logique métier propriétaire, il convient de la faire executée par le serveur !

3. Il n’y a jamais ou presque de réelle raison de stocker des mots de passes en dur (si vous le pensez, vous avez d’autres problèmes à venir...)

Conclusion

Conclusion• La sécurité mobile en est au début.

• Nous venons d’identifier quelques problèmes, il est nécessaire de les corriger !

• Les plateformes deviennent plus matures, les applications le doivent aussi...

• Ne pas oublier que la sécurité mobile comporte une partie application serveur !

RemerciementsOWASP Mobile Project Leaders

Jack Mannino jack@nvisiumsecurity.com

• http://twitter.com/jack_mannino

Zach Lanier zach.lanier@intrepidusgroup.com

• http://twitter.com/quine

Mike Zusman mike.zusman@carvesystems.com

• http://twitter.com/schmoilito

Liens •OWASP Mobile Project :

https://www.owasp.org/index.php/OWASP_Mobile_Security_Project

•HTML5 Sécurité :

http://www.slideshare.net/Eagle42/2011-0207html5securityv1

•OWASP Top10

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

@SPoint

sebastien.gioria@owasp.org

Vous pouvez donc vous protéger de lui maintenant...

@SPoint

sebastien.gioria@owasp.org

Il n'y a qu'une façon d'échouer, c'est d'abandonner avant d'avoir réussi [Olivier Lockert]

Vous pouvez donc vous protéger de lui maintenant...

2012 11-07-owasp mobile top10 v01

Technology

Top10 tamara

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014

Owasp Top10 Spanish

OWASP Top10 2013 - Co się zmieniło w bezpieczeństwie aplikacji?

music top10

OWASP (Membership) and new OWASP Projects · OWASP 7 OWASP

Top10 henrybw

top10 mobile trends

Top10 графики

Top10 2007

TOP10 (powerpoint)

Top10 tvshows

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01

OWASP Top10 2013

2013 02-27-owasp top10 javascript

Top10 Complete

CSS3 Top10

Whysaral Scrum Top10

top10 english2

OWASP Top10 2013 - Présentation aux RSSIA 2013