SMARTPHONES Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl
A-SIT/Smartphones iphone security analysis (Q1 2010) Blackberry security analysis (Q1 2010) Qualifizierte Signaturen und Smartphones App store Analyse Android security
Smartphones Gefahren Möglichkeiten Beispiele Sicherheitsfunktionen Best Practice
Smartphone 2010 CPU ca. 1 Ghz GPU OpenGL Speicher 512MB Storage 8-32 GB Network GSM, UMTS, WiFi, Bluetooth Sensoren GPS, Beschleunigung, Gyroskop, Kompass Sensoren Kamera(s), Mikrophon, Blitz Displays bis zu 960 640 OS Vergleichbar mit Desktop OS Applikationen App Stores Interface Multitouch Internet HSDPA 2-3 MBIT
Möglichkeiten Neue Anwendungsgebiete Navigation Augmented Reality Multimedia Spiele Mobilität UI
Neue Technologien Mobilität Gefahren Verwendung
Neue Technologien Mobilität Verwendung Neue Technologien UMTS WLAN Permanente Internetverbindung SMS/MMS Desktop OS Hochentwickeltes OS Telefon Sensoren Applikationen Mikrophon A-GPS Kamera Browser Beliebig
Neue Technologien Mobilität Verwendung Neue Technologien Angriffe wie auf Standard PCs Prozesse auf dem Smartphone: Telefon, SMS, Applikationen OS Früher: Einfaches OS für Telefon/SMS Jetzt...
Neue Technologien Mobilität Verwendung Neue Technologien Angriff auf Subsystem: Folgen? Andere Daten als auf klassischen PCs Position Gespräche, SMS Vermischung privat/kommerziell
Neue Technologien Mobilität Verwendung Mobilität Neue Anwendungsbereiche Neue Umgebungen Beispiel: iphone 4 Prototyp Smartphone als Angriffswerkzeug Spionage Tool
Neue Technologien Mobilität Verwendung Mobilität Diebstahl, Installieren von bösartiger Software WLAN Netzwerke Nutzungsdauer (kurz, schnell verfügbar)
Neue Technologien Mobilität Verwendung Verwendung Vermischung der Bereiche Unterschiedliche Anwendungsgebiete Emails, Firmenapplikationen Privater Bereich (Spyware...)
Sicherheit Policies Kommunikation Sensoren Basis Plattform Sicherheit Applikationen Application Store
VPN WLAN GPS Mikrophon Browser Bluetooth Kommunikation Sensoren Applikationen Berechtigungen Verschlüsselung Plattform Telefon Interaktion Policies Passwörter Application Store Verschlüsselung Prozesse Zugangsschutz Basis Sicherheit Wiping Malware Schutz
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Basis Sicherheit Betriebssystem Blackberry: Blackberry OS Apple: IOS (basierend auf OS X) Google: Android (basierend auf Linux) Nokia: Symbian, MeeGo (Linux) Microsoft: Windows Phone 7 (Windows)
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Basis Sicherheit Malware Schutz Prozess Management Verschlüsselung Aktualisierung Backup Remote Wiping
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Malware Schutz Schutz gegen Bufferoverflows (z.b. Bug im Browser) Ausführbarer Stack/Heap NX Flag CPU Randomisierte Adressen (Libs)
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Prozess Management Email Telefon Sandboxes Adressbuch Malware System Signierter Code Navigation Zugriff auf APIs App... Zugriff auf Daten anderer Applikationen
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Verschlüsselung Diebstahl Implementierung Recovery? Sicherheit Basierend auf PIN/Passphrase?
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Aktualisierung Oftmals keine delta Aktualisierungen, nur ganze Firmware IOS Bsp: SMS Bug Android: Hängt vom Hersteller ab
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Backup Backup bei Smartphones einfach Backup auf Laptop (z.b. itunes) Backup in die Cloud? Backup Verschlüsselung?
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Remote Wiping Sicherheitsfeature? Löschdauer (Verschlüsselung) Leicht verhinderbar
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Beispiele SMS Angriff Verschlüsselung Aktualisierung Jailbreaking Würmer
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies SMS Attack UMTS WLAN Angriff auf den Telefon Prozess Permanente Internetverbindung SMS/MMS Auswirkungen auf das gesamte Telefon Desktop OS Hochentwickeltes OS Telefon Sensoren Applikationen Mikrophon A-GPS Kamera Browser Beliebig
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Verschlüsselung IOS 3: vorhanden aber nutzlos IOS 4 verbessert Android: nicht vorhanden Blackberry
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Verschlüsselung IOS 3 Alle Daten sind verschlüsselt Schlüssel befindet sich auf Gerät Keine Ableitung von PIN/Passphrase Bei Diebstahl: PIN Code Flash Ausbau Jailbreak...
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Verschlüsselung IOS 4 Basis gleich wie bei IOS 3 Aber zusätzlich API für Applikationen (z.b. Mail) Key von PIN/Passphrase abgeleitet
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Verschlüsselung Blackberry Datenverschlüsselung gesperrt/entsperrt Symmetrische, Asymmetrische Krytographie Schlüssel von Passwort abgeleitet
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Verschlüsselung Anmerkungen Smartphone Verwendung/Umgebung PIN/Passphrase entscheidet über Sicherheit Sperren Länge der Passphrase Patterns?
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Jailbreaking IOS 4 Bufferoverflow Schutz: Sandboxes NX Flag ABER: Jailbreak über Browser Implikationen? UMTS WLAN Permanente Internetverbindung SMS/MMS Desktop OS Hochentwickeltes OS Telefon Sensoren Applikationen Mikrophon A-GPS Kamera Browser Beliebig
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Würmer/Botnetze Immer online (public IP) IP Ranges einschränkbar (Bsp iphone) Keine Anti Malware Software/Firewall Keine Delta Aktualisierungen BSP iphone SSH Wurm Offene Services?
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Kommunikation Services VPN SSL WLAN Security Offene Services
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Sensoren GPS, Mikrophon, Kamera Benutzerinteraktion? API? Zugriffsregelung?
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Application Store App Store: Widerruf Screening Hinweise für Benutzer: Zugriffsverhalten Vorgehensweise des Anbieters?
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Approval? Malware? Spyware? Trust? Flaws...
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Applikationen Zugriff auf Daten Schutz der Daten in der Applikation Abfragen beim Benutzer Location Berechtigungen API Sandbox
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies
Basis Sicherheit Kommunikation Sensoren App Store Applikationen Policies Smartphone Policies Enforce policies Verschlüsselung Applikationen Emails etc. Sperren
Best Practice Smartphone Infrastruktur Smartphone für Angriffe
Smartphone Infrastruktur Angriffe Smartphone Welche Daten werden am Smartphone verarbeitet? Bestehende Sicherheits Policies? Technologien? (Verschlüsselung?) Sichere Kommunikation? Enforcement von Policies (z.b: Verschlüsselung)? Passwort Policy? App Store, OS, Aktualisierung, Policies
Smartphone Infrastruktur Angriffe Infrastruktur Externe Kommunikation VPN Verbindungen Netze für Smartphones Nur notwendige Services Services: Mail, Eigene Applikationen, Webservices
Smartphone Infrastruktur Angriffe Smartphone für Angriffe Infrastruktur WLAN Netzwerke Spionage (Abhören, Kameras)
Ausblick Smartphones/Pads/Tabs nicht mehr wegdenkbar Mehr Bedeutung Andere Verteilung als bei Desktop OS Unterschiedliche Features Anpassung der Policies
Ausblick Android Security Analyse iphone Analyse (Update) Android Market Analyse
Android App Store Analyse Berechtigungen Automatische Analyse der Applikationen Anomalien: Text erwähnt SMS nicht, Berechtigung schon Maschinelles Lernen, Clustering, Semantische Suche
Danke für die Aufmerksamkeit Kontakt peter.teufl@iaik.tugraz.at http://www.a-sit.at