Cnlab/CSI Herbsttagung Apps und Sandboxen

Ähnliche Dokumente
MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

Eine App, viele Plattformen

HTML5 und das Framework jquery Mobile

Web Apps. Offlinefähige mobile Webapplikationen mit XPages als Alternative zu nativen Apps Thomas Brandstätter /

Cross-Platform Apps mit HTML5/JS/CSS/PhoneGap

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

Präsentation Von Laura Baake und Janina Schwemer

Möglichkeiten, Vorteile und Grenzen der Cross-Plattform-Entwicklung

Creating OpenSocial Gadgets. Bastian Hofmann

Smartphone-Sicherheit

Cnlab / CSI Demo Smart-Phone: Ein tragbares Risiko?

Architekturen mobiler Multi Plattform Apps

Entwicklung und Integration mobiler Anwendungen. <Speaker> Oracle Deutschland B.V. & Co. KG

Cross-Platform Mobile Development mit Xamarin Mark

Zentrale Informatik. Cross-platform Apps. Andrea Grössbauer David Meier. 11/11/15 Lunchveranstaltungen HS16 - Crossplatform Apps 1

Relution Enterprise Appstore. Enable Enterprise Mobility. 2.5 Release Note

Mobile Backend in der

23. Januar, Zürich-Oerlikon

Sind Cloud Apps der nächste Hype?

» Technologien, Trends, Visionen Architekturen für mobile Anwendungen

Webseiten werden mobil Planung geht vor

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

Der SCHWEIZER WELTATLAS interaktiv als Web Applikation

wo werden die Daten besser geschützt?

Möglichkeiten, Vorteile und Grenzen der Cross-Plattform-Entwicklung

informatik ag IT mit klarer Linie S i e b e l O p e n U I

DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen. Your Data. Your Control

IBM Cognos Mobile Überblick, Security und Individualisierung

IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication

Vom Prototypen zur Anwendung

Mobile App Testing. Software Test im mobilen Umfeld ATB Expertentreff, Wien, Functional Test Automation Tools

SAP mit Microsoft SharePoint / Office

Mobile Lösungen im industriellen Umfeld

Mobile Datensicherheit Überblick ios und Android

Zeichnungskoordination in der Cloud

Bring Your Own Device in der Industrie

So#ware- Engineering und Management für eine Smartphone App

Nicht zu unterschätzen: Distribution und Wartung

Ein mobiler Electronic Program Guide

Host Card Emulation Wie sicher ist das Bezahlen ohne Secure Element?

App Entwicklung mit Hilfe von Phonegap. Web Advanced II - SS 2012 Jennifer Beckmann

Falko Braune Präsentation - Hauptseminar Web Engineering Professur Verteilte und selbstorganisierende Rechnersysteme Technische Universität Chemnitz

Vaadin TouchKit. W3L AG

Workshop I. Technische Differenzierung mobiler Kommunikationslösungen am Beispiel NPO/NGO Kommunikation. 7. Juni 2011

HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS IOZ AG 1

Apollo Überblick. Klaus Kurz. Manager Business Development Adobe Systems Incorporated. All Rights Reserved.

re-lounge GmbH MEDIENBÜRO

HTML5. Die Zukunft mobiler geodatenbasierter Anwendungen? Dipl.-Inf. Steve Schneider. Fraunhofer-Institut für Fabrikbetrieb und -automatisierung IFF

Desktopvirtualisierung. mit Vmware View 4

Projekte. Beratung. Spezialisten. FAQs zur Technik. IKS-Thementag FAQs zur Technik 1 61

Mobile Anwendungen im SAP-Umfeld

RDS und Azure RemoteApp

Mobile: Die Königsfrage

SharePoint 2013 The new way to work together

Die Geschichte und die Entwicklung der Apps

>> Future Network David Steinmetz Alexander Deles. Seite 1

Dominik Helleberg inovex GmbH. Android-Enterprise- Integration

Mobile Backend in. Cloud. Azure Mobile Services / Websites / Active Directory /

APEX DESKTOP APPS. Interaktion mit dem Client System

SharePoint 2013 The new way to work together

Enterprise Mobility, Live! Pascal Kaufmann, Swisscom IT Services AG 12. Juni 2013

JavaScript Frameworks für Mobile

Innovative Use Cases & User Interfaces mit SAP Fiori & SAPUI5

Mobile Angebote Strategie einer Verwaltung. Freie und Hansestadt Hamburg Dr. Ursula Dankert

Die Schweizer sind Weltmeister...

Smartphone Entwicklung mit Android und Java

FOSSGIS 2012, Dessau. GeoExt Mobile (GXM) GIS WebApps mit nativem Look and Feel für unterwegs. Marc Jansen, terrestris GmbH & Co.

Installation Guide/ Installationsanleitung. Spring 16 Release

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

MOA-ID Workshop. Anwendungsintegration, Installation und Konfiguration. Klaus Stranacher Graz,

Integration mobiler Endgeräte in Medizinprodukte und Medizintechnik-nahe Produkte

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL

Sicherheit von Smartphone-Betriebssystemen im Vergleich. Andreas Jansche Gerhard Klostermeier

Autorensysteme für mobile Anwendungen - Totgesagte leben länger. Prof. Dr. Michael Bauer Autorensysteme

ADF Mobile konkret Best Practices Live erklärt. Jan Ernst

Mobile Device Management (MDM)

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets

Ihr Dienstleister für individuelle Softwareentwicklung und IT-Beratung

Service Coding Crash Course

Mobile Apps: Was verbirgt sich hinter dem Hype?

Enterprise Mobility. Enterprise Mobile App Entwicklung Praxisbericht

Mit Cloud Power werden Sie zum

Mobile Applications. Adrian Nägeli, CTO bitforge AG

Mit Cloud Power werden Sie zum

Immer mehr lebt mobil

DCCS Lotusphere Nachlese 2012 Was sind XPages? Mobile Features für XPages

UI Technologien für SAP-Anwendungen

Mobility im Unternehmenseinsatz. Timo Deiner, Senior Presales Expert Mobility, SAP Deutschland Communication World 2012, 10.

der referent Enterprise Mobility Hype oder Must-Have?

Mobile Device Management (MDM) Part2

Plattformunabhängige App-Entwicklung - Eine für alle?

FileMaker Go Alternativen

Appery.io Mobile Apps schnell und einfach entwickeln

Der Weg zur eigenen App

Warum braucht es neue Betriebssysteme? Security Event NetSpider GmbH / GoEast GmbH

Transkript:

Cnlab/CSI Herbsttagung 2017 Apps und Sandboxen

Agenda - App-Technologien - Integrität von Apps - Schutzmechanismen ios und Android - Vergleich mit Standard-PC - Fazit 6.9.2017 2

TA Online vom 23.8.2017 https://www.tagesanzeiger.ch/digital/computer/android-erfolgreich-und-schon-bald-am-ende/story/12380331 6.9.2017 3

Warum Sandboxen? phys. Schutz PIN/Finger etc. T+T Internet TLS, Authentisierung Sandboxen 6.9.2017 4

Standard App: Native App Geladen vom Store Start via Icon Nativer Code (Objective-C, Java) Läuft in der eigenen Sandbox Voller Integritäts-Check Schwierigkeiten: Speziallösung für jede Plattform 6.9.2017 5

Zwischen-Variante: Hybride App Geladen vom App-Store Start via Icon Nativer Code (Rahmen) HTML Web-Views (on-line oder Cache) Läuft in der eigenen Sandbox Partieller Integritäts-Check Schwierigkeiten: Web-Views sind nicht voll kontrollierbar 6.9.2017 6

Neuer Trend: Progressive Web App (PWA) Start via URL im Browser (optional via Icon) HTML-5, CSS3 und JavaScript online Browser-Caching für Offline- Funktion Läuft in der Browser-Sandbox Kein Integritäts-Check https://pwa.rocks/ https://englishaccentsmap.com Schwierigkeiten: Trennung zwischen Apps hängt vom Browser ab Fehlende Trennung in der Key Chain Fehlendes Zertifikats- Pinning 6.9.2017 7

Vergleich der App-Technologien: Kriterium Native Hybrid PWA Integritätsschutz Hoch Mittel Tief Kapselung: Sandbox Hoch Mittel Tief Kapselung: Keys Hoch Hoch Tief Anti-Engineering-Schutz Hoch Mittel Tief Flexibilität Peripherie Hoch Hoch Mittel Plattform-Abhängigkeit Hoch Mittel Tief Abhängigkeit vom Store Hoch Mittel Tief Beachte: Die Unterschiede bei Funktionalität, Look&Feel, Offline-Fähigkeit sind nur noch gering. 6.9.2017 8

Integrität von Apps Sandboxen sind nur dann voll wirksam, wenn die Apps sich korrekt verhalten. Standard- Windows- Anwendungen Thema ios Android Initialprüfung Durch Apple (Durch Anwender) keine Verteilung App Store Play Store oder direkt Nicht kontrolliert Integritätscheck bei Installation Signatur von Apple Eine gültige Signatur Signatur optional Check bei Update Signatur von Apple und App-ID Signatur des Herausgebers Nicht systematisch Integritätscheck beim Start Zugriff auf Schlüsselspeicher Keine Keine Keine App-ID App-ID Rechte des Run-Users Zugriff auf Inter-App- Kommunikation App-iD gem. Vorgaben des Autors App.ID gem. Vorgaben des Autors Rechte des Run-Users 6.9.2017 9

Trusted Execution Environment TEE stellt eine sichere Laufzeitumgebung für Applikationen zur Verfügung. Begriff ios und Android TPM Trusted platform module Schlüssel-Speicher, Basis-Krypto-Funktionen Authentisierung und Autorisierung In Windows Standard CPU Prozessor Prozess-Isolierung Standard TEE Trusted execution environment Peripherie-Isolierung, sichere Vertriebs-Prozesse nur auf BIOS-Stufe Sandbox geschützte Run-Time Eigenes File-System pro App Restriktives API, Kontrollierte Inter-App-Kommunikation eingeschränkter Run-User (ios) Eigener Run-User pro App (Android) rudimentär App Anwendung Zusammenfassung der Funktionen (Kapselung) teilweise 6.9.2017 10

Die ios-sandbox..the App Sandbox strategy is twofold: 1. App Sandbox enables you to describe how your app interacts with the system. The system then grants your app the access it needs to get its job done, and no more. 2. App Sandbox allows the user to transparently grant your app additional access by way of Open and Save dialogs, drag and drop, and other familiar user interactions. Quelle: developer.apple.com 6.9.2017 11

App-Rechte in Android (2 Beispiele) 6.9.2017 12

Wer hat das «SYSTEM_ALERT_WINDOW»-Recht? Einstellungen Apps «Zahnrad» Spezieller Zugriff Über andern Apps einblenden 6.9.2017 13

Keychain und KeyStore Thema ios Keychain Android KeyStore Bemerkungen TPM-basiert X (X) Herstellerabhängig App-Bindung X X PIN-Schutz X X FPR-Schutz X X Krypto-Fkt. X X z.b. S/MIME Backup lokal X X Backup Cloud X X PW-Schutz bei ios Gerätebindung möglich ios: Keychain an Gerät gebunden Android: Kein Key Store im Backup Symm. Keys X X Asymm. Keys X X Strings X (X) 6.9.2017 14

Thesen 1. Mobile Geräte bieten bessere Sicherheitsfunktionen als Standard-PCs. (Windows, OSX). 2. Apps können sehr sicher gemacht werden. 3. Native und Hybride Apps sind sicherer als PWAs 4. Ein paar Dinge muss man beachten: Alte mobile-geräte müssen ersetzt werden. Nur Apps vom Store verwenden. Updates sind wichtig. 6.9.2017 15

Danke Paul Schöbi paul.schoebi@cnlab.ch +41 55 214 33 33 6.9.2017

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback