Android & ios wo werden die Daten besser geschützt? [twitter]heute ein Versuch: Live Tweet aus dem Vortrag heraus. Live-Stream: http://unfuck.eu/2012/live-stream @ThinkingObjects [/ twitter]
Who we are Adrian Woizik FH-Furtwangen, 2005 twitter: @morrow Thinking Objects - TOsecurity - Produktmanagement adrian.woizik@to.com Florian Pfitzer HFT-Stuttgart Thinking Objects - TOsecurity - Entwickler florian.pfitzer@to.com [twitter]reply mit Hashtag landen auf der Twitterwall und werden im Laufe des Vortrags beantwortet[/twitter]
Security Models 10/18/12 Adrian Woizik 3 [twitter]erster Tag, erster Vortrag: Android & ios - wo sind die Daten besser geschuetzt? http://topal.is/unfuck2012[/twitter]
source: http://krebsonsecurity.com/2011/08/beware-of-juice-jacking/ 10/18/12 Adrian Woizik 4 [twitter]juicejacking, Smartphone Attack through charging stations. Uebersicht unter http://topal.is/12unf1[/twitter]
Secure Boot Chain Bootloader Kernel Primary Bootloader ROM Extensions SecureBoot Baseband Firmware je Hersteller eigener Bootloader Apple Root CA im BOOT ROM idr: locked 10/18/12 Adrian Woizik 5 [twitter]bootchain http://twitpic.com/b5gn9c Background Informationen zu #ios http://topal.is/12unf3 und #Android http://topal.is/ 12unf2[/twitter]
Updates kein Downgrade Online-Check Hersteller / Model / Carrier lange Laufzeiten 3.x 2 % 5.1.x 27 % 4.0 24 % 2.3 56 % 6.0.x 64 % 5.0.x 2 % other 6 % 4.1 2 % other 17% 10/18/12 Adrian Woizik 6 [twitter]#smartphone Update Statistik http://twitpic.com/b5go01 von #ios http://topal.is/12unf4 und #Android http://topal.is/12unf5[/ twitter]
Code Signing Hersteller Signatur Developer Signatur Speicherseiten Sandbox-Signatur 10/18/12 Adrian Woizik 7
Runtime Protection Sandboxing userid=mobile OS ReadOnly ASLR, Cookie Signing, HEAP hardening kein JIT außer durch Apple Sandboxing one user per app Berechtigung native = interpret +x für eigene files ASLR seit 4.1 SE Linux in 4.2 10/18/12 Adrian Woizik 8 [twitter]runtime Protection - #ios6 Security http://topal.is/12unf8 und #Android http://topal.is/12unf9 [/twitter]
Crypto HW AES-256 SHA-1 Hardware Crypto?! UID/GID in CPU AES-128 KEY nur für Crypto Key = User-PIN FS encrypted bei LOCK Einmalig bei Boot decrypted BruteForce nur im Gerät Keine erweitere Data-Protection in HW 10/18/12 Adrian Woizik 9 [twitter]background Informationen zu kryptografischen Methoden in #ios http://topal.is/12unf3 #Android http://topal.is/12unf10[/ twitter]
Key-Chain SQLite UID encrypted SIM PIN, VPN Cert, Voicemail, BT-Keys, Push-Tokens, icloud Cert, imessage Key nicht geschützt durch Crypto 10/18/12 Adrian Woizik 10 Account Manager Apps im Filesystem CA Certs via SD
Data Protection File Contents File System Key File Metadata File Key Class Key Device UID User Passcode 10/18/12 Adrian Woizik 11 [twitter]iphone data protection http://twitpic.com/b5gpra in depth + tools via http://code.google.com/p/iphone-dataprotection/[/twitter]
Data Protection Internal & External SD-Card?! 10/18/12 Adrian Woizik 12 [twitter]#android Data Storage Technical Paper http://topal.is/12unf11[/twitter]
App Store vs Google play 10/18/12 Adrian Woizik 13
Store-Guidelines 10/18/12 Adrian Woizik [twitter]guidelines der Appstores: #Apple http://topal.is/12unf12 #Google http://topal.is/12unf13[/twitter] 14
Google Bouncer Code kann nachgeladen werden Known Source IPs Malicious Behavior Analyse 10/18/12 Adrian Woizik [twitter]how to bypass the Google Playstore for your malicious Apps http://topal.is/12unf14[/ twitter] 15
Google Bouncer Code kann nachgeladen werden Known Source IPs Malicious Behavior Analyse Time bomb! 10/18/12 Adrian Woizik 16
Code Analyse Halb manuelle Code Analyse Prüfung nach illegalem Verhalten Kein automatischer Schutz! Malware vorhanden 10/18/12 Adrian Woizik 17
Alternative Stores 10/18/12 Adrian Woizik 18
Conclusion Schutz mit Third Party Apps nur für unrooted / unjailed Geräte! don t trust external storage! Android in Unternehmen benötigen eher eine genaue App-Analyse don t trust external storage!! Third Party Apps are evil! Apps are evil! 10/18/12 Adrian Woizik 19
Demonstration 10/18/12 Adrian Woizik 20 [twitter]und jetzt geht es zur Demonstration mit Florian. Welche Daten kann eine Android-App alles auslesen? Live auf http://unfuck.eu/livestream[/twitter]
Thank you for your time Adrian Woizik Produktmanagement Thinking Objects GmbH Lilienthalstraße 2/1 70825 Korntal/Stuttgart Tel. +49 711 88770400 Fax +49 711 88770449 adrian.woizik@to.com http:// [twitter]thx for your time - Mehr Infos zum Vortrag oder zu mir gibt es unter http://netclue.de/+ oder bei http://[/ twitter] 21