State of the Union: Android Security Overview. Matthias Lange, 12. November 2013, get IT together

Transkript

1 State of the Union: Android Security Overview Matthias Lange, 12. November 2013, get IT together

2 Was kümmert es mich?

3

4 Mobile OS Market Share (2012) Quelle: IDC Android ios Windows Andere

5 Malware Verteilung 2010 F-Secure Mobile Threat Report Q4/2012

6 Malware Verteilung 2011 F-Secure Mobile Threat Report Q4/2012

7 Malware Verteilung 2012 F-Secure Mobile Threat Report Q4/2012

8

9 High Level Überblick

10 Agenda Sicheres Booten Verbesserungen bei der Speicherverwaltung Android Anwendungssicherheit Android Sicherheitsprobleme Zukünftige Verbesserungen

11 Sicheres Booten

12 Boot Prozess 1. Initial Bootloader 2. Bootloader 3. Kernel 4. Android init 5. Android Platform boot

13 Boot-Architektur SoC CPU Security Subsystem ROM IBL DRAM Controller Controller NAND SD/MMC emmc USB OTG DRAM Boot Device Bootloader Signature Kernel Signature OM Pin

14 Signatur-Check Image Image SHA1 Digest/ Hash Compare Signature Signature Check with Public Key Digest/ Hash

15 Speicherschutz

16 Schutz gegen Speicherkorrumpierung Seit 2.3 Gingerbread Android >= 4.1 execute Never (XN) mmap_min_addr Position Independent Executable (PIE) Read-only Relocations (RELro) Android >= 4.0 Address Space Layout Randomization (ASLR)

17 ASLR Zufällige Startadressen für Speichermappings Stack, Heap, Bibliotheken, Anwendung Durch den Linux-Kern bereitgestellt + Loader Mit NX-Bit kombiniert

18 Randomization in Gingerbread cat /proc/pid/maps (vold) r-xp b3: /system/bin/vold rw-p b3: /system/bin/vold afd00000-afd40000 r-xp b3: /system/lib/libc.so afd40000-afd43000 rw-p b3: /system/lib/libc.so b b r-xp b3: /system/bin/linker b b000a000 rw-p b3: /system/bin/linker bebcc000-bebed000 rw-p :00 0 [stack] rw-p :00 0 [heap] r-xp b3: /system/bin/vold rw-p b3: /system/bin/vold afd00000-afd40000 r-xp b3: /system/lib/libc.so afd40000-afd43000 rw-p b3: /system/lib/libc.so b b r-xp b3: /system/bin/linker b b000a000 rw-p b3: /system/bin/linker becf2000-bed13000 rw-p :00 0 [stack] rw-p :00 0 [heap]

19 Randomization in ICS cat /proc/pid/maps (vold) f000 r-xp : /system/bin/vold 0001f rw-p : /system/bin/vold 400b f9000 r-xp : /system/lib/libc.so 400f fc000 rw-p : /system/lib/libc.so b b r-xp : /system/bin/linker b b000a000 rw-p : /system/bin/linker beabc000-beadd000 rw-p :00 0 [stack] f000 rw-p :00 0 [heap] f000 r-xp : /system/bin/vold 0001f rw-p : /system/bin/vold 400bc fe000 r-xp : /system/lib/libc.so 400fe rw-p : /system/lib/libc.so b b r-xp : /system/bin/linker b b000a000 rw-p : /system/bin/linker bee36000-bee57000 rw-p :00 0 [stack] f000 rw-p :00 0 [heap]

20 Randomization in Jelly Bean cat /proc/pid/maps (sleep 1000) 400e r-xp : /system/bin/toolbox r--p : /system/bin/toolbox rw-p : /system/bin/toolbox d6000 r-xp :01 86 /system/lib/libc.so 400d d9000 rw-p :01 86 /system/lib/libc.so a8000 r-xp : /system/bin/linker 401a a9000 r--p : /system/bin/linker beb87000-beba8000 rw-p :00 0 [stack] e000 r-xp : /system/bin/toolbox 4005f r--p : /system/bin/toolbox rw-p : /system/bin/toolbox aa000 r-xp :01 86 /system/lib/libc.so 400aa ad000 rw-p :01 86 /system/lib/libc.so 4011c f000 r-xp : /system/bin/linker 4012f r--p : /system/bin/linker bef0d000-bef2e000 rw-p :00 0 [stack]

21 Anwendungssicherheit

22 Bouncer Scannen und erkennen von Malware beim Upload in den Market App wird in einem Emulator ausgeführt Erkennung des Emulators ist einfach Seit Jelly Bean 4.2 lokale Variante Scannt Apps aus alternativen App Stores

23 App-Verschlüsselung Mit Jelly Bean 4.1 eingeführt Verschlüsselt Bezahl-Apps Probleme mit In-App-Käufen

24 Android Sicherheitsprobleme

25 Fehlende Updates 3 Parteien Google/OHA, OEM, Carrier Schnelle Produktzyklen Carrier kann Updates zurückhalten Millionen Geräte mit bekannten Sicherheitslücken

26 Android Version Distribution Froyo Gingerbread Ice Cream Sandwich Jelly Bean 4.1 Jelly Bean 4.2 Jelly Bean

27 OEM-Erweiterungen Modifikationen am Android-Kern Samsung (/dev/exynos-mem, USSD) Rootkits in OEM-Apps Schlechte Softwarequalität Linux-Treiber

28 Androidsicherheit Zukunft

29 New Features in Jelly Bean >= 4.2 Sicheres USB-Debugging (Whitelist für adb) Besserer Zufallszahlengenerator basierend auf OpenSSL Bestätigung von SMS beim Versenden

30 Danke! Q&A

31

32 SEAndroid Android combined with SELinux Rumor has it: may in Android 5.0 Samsung Knox

33 Rechteverwaltung Zugriffsrechte müssen bei Installation der App erteilt werden Alles oder nichts Vielfalt der Zugriffsrechte (> 100) Zu grob, zu fein Unübersichtlich

34 Cold Boot Angriff Nicht Android-spezifisch Gerät wird eingefroren DRAM behält Inhalt für kurze Zeit Reboot durch kurze Stromunterbrechung Gerät in Recovery-Modus versetzt Eigenes Recovery-Image aufgespielt Durchsucht Speicher nach Decryption-Key

35 Isolation installd netd (root) vold (root) Code (root) Code Shared Libs Code Shared Libs Shared Libs System System HAL System HAL HAL servicemanager (root) Code Shared Libs System HAL zygote (root) Dex Code Dalvik VM Shared Libs JNI System HAL system_server (system) Dex Code Dalvik VM Shared Libs JNI System HAL com.bar.app (app_4) com.foo.app Dex Code (app_1) Dalvik VM Dex Code Shared Libs Dalvik VM Shared JNI Libs System JNI HAL System HAL

36 Android Application Sandbox Each App has its own Process UID and GID Linux kernel enforces application sandbox Dalvik VM is no security boundary

37 Dateisystemverschlüsselung seit Android 3.0 /data und ggf. /sdcard verschlüsseln Benötigt Pin oder Passwort Basiert auf dm-crypt vold implementiert userspace Teil 128 AES with CBC and ESSIV:SHA256 Unterstützung durch Hardware-Module möglich im DMA-Pfad zwischen CPU und Flash-Speicher

38 Master-Key 128 Bit Aus /dev/urandom abgeleitet Verschlüsselt mit Hash aus Nutzer-Passwort und Salt aus /dev/urandom Bei Passwortänderung muss nur der Master-Key neu verschlüsselt werden Master-Key und Metadaten am Ende der Partition (16Kb) Brute Force Angriffe möglich

39 Signierung von Anwendungen Indentifizierung des Entwicklers Signatur bestimmt die UID Self-signed oder durch Drittanbieter keine Überprüfung der CA durch Android Permission mit signature Level schränkt Zugriff auf Apps die mit dem gleichen Schlüssel signiert wurden ein

40 Android Verschiedenes

41 Gerätemanagement Android Device Administration API Kann von Drittanbietern genutzt werden Exchange-Unterstützung Passwort-Richtlinien Remote Wipe Vollständig Einzelne Apps

42 Entwicklungsprozess Sicherer Entwicklungsprozess Reviews Informationen unter androidsecurity-discuss Mailinglist Android Security Team file_fd = open(dev, flags); if (file_fd < -1) { perror("open backing file failed"); return 1; } device_fd = open(loop_device, flags); if (device_fd < -1) { perror("open loop device failed"); close(file_fd); return 1; } system/core/toolbox/mount.c, Android 2.3.7