10 уязвимостей в мобильном ПО

Больше чем безопасность

к.ф.-м.н. Катерина Трошина

Ведущий специалист по анализу кода, ЦИБ

ЗАО «Инфосистемы Джет»

10 уязвимостей в

мобильном ПО

12 мая 2014 года

© 2013 Инфосистемы Джет ЦИБ: больше чем безопасность

Введение

Мобильное приложение – это конкурентное

преимущество!

Особенности:

• эксплуатация в разнообразных средах

• недоступность дополнительных средств защиты

• невозможность удаленного контроля

Мобильное приложение – уязвимо!!!


Особенности разработки приложений с

точки зрения ИБ

Дефекты в программном обеспечении:

• Ошибки

• Уязвимости

• Недекларированные возможности


Особенности разработки приложений с

точки зрения ИБ

Уязвимости – это ошибки разработчиков, которые

потенциально могут эксплуатироваться

злоумышленниками с целью получения

несанкционированного доступа к управлению ПО


Причины появления уязвимостей в коде

• Разработчик обычно не является экспертом в области ИБ

• Практика разработки мобильных приложений имеет специфику

• Мобильные приложения часто разрабатываются на заказ, а требования к

функциональности дорабатываются в процессе разработки

• Требования к разработке – БЫСТРО!!!

• Сфера работы для программистов новая и стремительно развивающаяся

• Уязвимостей для мобильных приложений очень много и они «легко»

встраиваются в код


Number 1: Недостаточная проверка SSL-

сертификатов (Android и iOS)

Установка защищенного соединения

• проверка подлинности

подписи SSL сертификата

Модель атаки:

• «подкладываем пользователю» «неправильный

сертификат»

• перехватывает трафик на «неправильный сервер»

• показываем «неправильный сертификат»

• «перенаправляем пользователя» на свой сервер

Атака – Человек по середине

Риск – 10/10 (полная потеря конфиденциальных данных)


Number 2: Хранение настроек в

файловой системе (iOS)

Настройки приложения хранятся в .plist-файле в

«защищенном» каталоге

Настройки могут хранить:

• регистрационные имена

• пароли


• Получаем физический доступ к устройству

• Подключаем устройство к компьютеру

• iExplorer дает доступ к .plist-файлу

Атака – Доступ к устройству или стороннее приложение

Риск – 5/10 (требуется доступ к устройству)


Number 3: Работа на модифицированных

устройствах (Android и iOS)

Приложения должны выполняться в защищенном

пространстве: «песочнице».

Если устройство модифицировано, то нет возможности

контролировать доступ к памяти приложений.

Должны быть 2 сценария работы приложения:

• На защищенном устройстве

• На модифицированном устройстве

Атака – вредоносное ПО может управлять трафиком

Риск – 7/10 (пользователи обычно осознают риск)


Number 4: Утечка приватной информации

в системные журналы (Android и iOS)

Приложение записывает в

системные журналы

конфиденциальную информацию,

например, тело POST-запроса.


Любое приложение с правами доступа чтения из

системного журнала имеет доступ информации,

которую записывают в него любые приложения

Атака – утечка конфиденциальной информации

Риск – 3/10 - 9/10 (зависит от информации)


Number 5: Использование

дополнительных сервисов (Android и iOS)

Обычно используют три сервера: • основной

• геолокации и картографии

• вспомогательной информации

Вспомогательные сервера обделены вниманием ИБ

Модель атаки: • перехват информации, отправляемой на мобильное устройство

• дезинформация об услугах

• перенаправление на «ложные» страницы

Атака – дезинформация пользователей, фишинговые атаки



Number 6: Утечка пользовательских данных

при переходе в фоновый режим (iOS)

При переходе приложения в фоновый

режим iOS делает снимок экрана

приложения, который сохраняется

в домашней директории приложения

по относительному пути

Library/Caches/Snapshots/.

На снимках экрана может содержаться

конфиденциальная информация, что может

привести к ее утечке.




Number 7: Не отключение системного

буфера обмена (Android и iOS)

Если приложение не отключает

системный буфер обмена, то

пользовательские действия в

контексте приложения

записываются и могут быть

прочтенными из системного буфер обмена


Риск – 4/10


Number 8: Утечка информации через IPC

(Android)

Intent - объект, отвечающий за

взаимодействие компонент

Intent – не должен содержать

конфиденциальную информацию


• процессы синхронизуются

• Intent содержит конфиденциальную информацию

• чужое приложение ее читает


Риск – 3/10


Number 9: Незащищенные приемники

широковещательных сообщений (Android)

Intent выдают широковещательные

сообщения, которые принимает

широковещательный приемник


• приемник не защищен правами доступа

• вредоносное ПО подделывает сообщения

Атака – утечка конфиденциальной информации. Захват

управления приложением

Риск – 4/10


Number 10: Делегирование управления

(Android)

На платформе Android приложения

могут делегировать управление другим

приложениям, используя Intent


Если адрес Intent не определен, то

чужое приложение может его захватить и

перенаправить!

Атака – утечка конфиденциальной информации. Захват

управления приложением.

Риск – 4/10


Выводы и заключение

• Невозможно запретить людям пользоваться ПО

только по задуманным разработчиками сценариям.

• Сложно собрать команду разработчиков, которая не

будет оставлять в ПО возможности для его

альтернативного использования.

• Можно защититься от успешной эксплуатации

большинства уязвимостей!



Для начала уязвимости нужно выявить и оценить угрозу!

Оставить как есть

и исправить в

следующей версии

Срочно

исправлять код!



Анализ кода от Jet Infosystems позволит вам получить

полную информацию:

• о защищенности приложения до того, как его

«протестируют» на защищенность злоумышленники

• о потенциальных угрозах, которыми подвергается

ваш бизнес, эксплуатирую разработанное ПО

• как не допустить эксплуатацию выявленных

уязвимостей

Принять правильное решение!

Больше чем безопасность

к.ф.-м.н. Катерина Трошина

Ведущий специалист по анализу кода, ЦИБ

ЗАО «Инфосистемы Джет»

Спасибо за внимание

Ваши вопросы

12 мая 2014 года

Technology

10 уязвимостей в мобильном ПО