Embed Size (px)
Citation preview
– I N T E R N A L O N LY
Сравнение безопасности мобильных платформ
Андрей Бешков
Microsoft
– I N T E R N A L O N LY
О чем будем говорить
Безопасность базовых систем мобильных ОСАтаки на приложения Шифрование хранилища
– I N T E R N A L O N LY
Бешков? А это кто?
В прошлом пропагандист опенсорса
Специалист в области UNIX и Windows
Консультант в области телеком и крупных инфраструктур
Ныне сотрудник MS отвечающий за ИБ программы в Центральной и Восточной Европе
– I N T E R N A L O N LY
Безопасность базовых ОС
– I N T E R N A L O N LY
Уязвимости мобильных ОС
Источники http://secunia.com/ http://www.cvedetails.com/ http://news.cnet.com/8301-30685_3-20021437-264.html
ОС Уязвимости
Apple iOS 5.x 286
Apple iOS 6.x 31
Apple iOS 7.x 37
Windows Phone 7.x 2
Windows Phone 8.x 0
Android 2.x 359
Android 3.x 2
Android 4.x 2
– I N T E R N A L O N LY
Уязвимости за 5 лет ТОП 20 вендоров
Источник Secunia 2011 yearly report
– I N T E R N A L O N LY
Отношение к обновлениям
– I N T E R N A L O N LY
Фрагментация Android
Одна версия Android выходит из поддержки каждые полгода. Поддержка заканчивается еще во время активной продажи Android устройств.Entelligence Will Android fragmentation destroy the platformhttp://www.engadget.com/2010/03/05/entelligence-will-android-fragmentation-destroy-the-platform/
Time for Google to Take Control of the Android Update Processhttp://www.zdnet.com/blog/mobile-news/time-for-google-to-take-control-of-the-android-update-process/664
– I N T E R N A L O N LY
Версии Android
– I N T E R N A L O N LY
Установка приложений
– I N T E R N A L O N LY
Установка приложения на Android
– I N T E R N A L O N LY
Утечка прав приложений Android
Уязвимость в Android позволяет не доверенным приложениям записывать звук, отследить географическое положение пользователя и получать доступ к любым данным без разрешения. Ей подвержены аппараты от HTC, Samsung, Motorola и Google.
Уязвимость позволяет обойти основные разрешения для любых приложений.
http://www.theregister.co.uk/2011/11/30/google_android_security_bug/
– I N T E R N A L O N LY
Android Market
Легко публиковать приложения в Google Play. Особенно атакующим. Защиту с помощью Google Bouncer уже обошли.Все приложения (даже приложения безопасности) созданы равными
Нет никакой особенной защиты для приложений шифрующих данные или передающих данные наружу.
Приложения для взлома ОС легко находятся в Google Play и сторонних маркетах.
– I N T E R N A L O N LY
Зловреды любят Android
Kaspersky Security Bulletin 2013
– I N T E R N A L O N LY
Зловреды любят Android
Kaspersky Security Bulletin 2013
– I N T E R N A L O N LY
Уязвимость Heartbleed в Android
Позволяет веб сайту незаметно читать память из Android 4.1.1 и 4.2.2 Уязвимы десятки миллионов устройств.
Vicious Heartbleed bug bites millions of Android phones
– I N T E R N A L O N LY
Уязвимость в SSL/TLS iOS 7, iOS 6, Apple TV, OS X
Позволяет атакующему перехватывать и модифицировать шифрованный траффик.
Apple's SSL bug
– I N T E R N A L O N LY
Apple AppStore
Чарли Миллер продемонстрировал приложения способные менять свои модули без участия AppStore. Это позволяет мутировать безобидные приложения в зловредный код c помощью JavaScript.
http://www.forbes.com/sites/andygreenberg/2011/11/07/iphone-security-bug-lets-innocent-looking-apps-go-bad/
– I N T E R N A L O N LY
Шифрование хранилища
– I N T E R N A L O N LY
Шифрование данных
Криптография с помощью javax.crypto или других средствДокументация по шифрованию Android и iOS крайне скудна
WP 7 WP8 Android iOSШифрование сменного
хранилища
Нет Да Да. С Android 3.0 Нет
Шифрование
встроенного хранилища
Нет Да Да. С Android 3.0 Да
Централизованное
управление криптографией
Нет Да Нет Нет
Централизованное восстановление крипто ключей
Нет Да Нет Нет
– I N T E R N A L O N LY
http://www.youtube.com/watch?v=uVGiNAs-QbY&feature=player_embedded
http://www.sit.fraunhofer.de/en/Images/sc_iPhone%20Passwords_tcm502-80443.pdf
– I N T E R N A L O N LY
Кажется с Android есть проблемы, но мой iPad ведь безопасен?
Компрометация SIM карт клиентов AT&T использующих iPadhttp://arstechnica.com/security/news/2010/06/atts-ipad-security-breach-could-be-worse-than-initially-thought.ars
Восстановление паролей iPhone за 6 минут: http://technolog.msnbc.msn.com/_news/2011/02/10/6023980-hackers-only-need-six-minutes-to-reveal-your-iphone-passwords?gt1=43001
