Smartphone security
This presentation is the property of its rightful owner.
Sponsored Links
1 / 57

Smartphone Security PowerPoint PPT Presentation


  • 135 Views
  • Uploaded on
  • Presentation posted in: General

Smartphone Security. Malware und Sicherheit für Android. Zur Person. Sebastian Bachmann Android Malware Analyst Analyse von Android Software Reverse Engineering Dynamische & Statische Analyse Pflegen der Signaturendatenbank für Android Seit Februar 2012 bei IKARUS. Agenda.

Download Presentation

Smartphone Security

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Smartphone security

Smartphone Security

Malware und Sicherheit für Android


Zur person

Zur Person

Sebastian Bachmann

Android Malware Analyst

  • Analyse von Android Software

  • Reverse Engineering

  • Dynamische & Statische Analyse

  • Pflegen der Signaturendatenbank für Android

    Seit Februar 2012 bei IKARUS


Agenda

Agenda

Android Basics

Malware für Android

Schaden

Vektoren

Bedrohungsanalyse

NumberCrunching & aktuelle Trends

Demo

IKARUS mobile.security


Das android system

Das Android System

In der Basis Linux

Eigene Laufzeitumgebung für Programme (Dalvik) oder nativer Code (ARM, MIPS, x86, …)


Das android system1

Das Android System

Interne Sicherheit durch Linux UIDs

Jede App bekommt eine eigene UID & GID

Shared IDs für Entwickler sind möglich (Beispiel: Mediaplayer und Encoderlib)


Berechtigungen

Berechtigungen

Jede App muss Berechtigungen anfordern um Systemdienste zu verwenden

Eine Berechtigung entspricht meist einer Linux GID

140 Berechtigungen von Android+ Herstellerspezifische

Zum Teil zu ungenau definiert


Android ipc system

Android IPC System

Interprozesskommunikation gelöst durch „Intents“

App kann Receiver oder Provider stellen

Broadcasts vs spezieller Aufruf

  • Broadcast „BOOT_COMPLETED“

  • Speziell „Chrome: öffne http://www.ikarus.at“

    GUI einer App kann über MAIN Intent abgerufen werden

    Intents können nicht zur Laufzeit angefordert werden

    Benötigen unter Umständen Berechtigung


Open source

Open Source

Android ist Open Source

Gerätetreiber sind jedoch meist Closed-Source

Open Source bringt weitere Vorteile in Richtung Sicherheit

  • lesbar für alle (sowohl für White- als auch Blackhats)

  • Bugfixes können schneller umgesetzt werden

  • Größere Entwicklergemeinde

    Open Source kaum Anreiz Systeme zu „hacken“

    „Security byobscurity“ vs „open system“


Android sicherheit

Android Sicherheit

Auf den ersten Blick sieht Android sehr sicher aus

Apps müssen

  • Berechtigung haben

  • Oder in der richtigen Gruppe sein

    Dazu kommt:

  • Normalerweise keine Installation außerhalb von Google Play

  • Honeycombstartet Apps nicht mehr automatisch nach der Installation

  • Strengere Kontrollen durch Google

  • App muss Zertifikat enthalten

    Trotzdem gibt es Malware für Android!


Smartphone security

Venn

http://www.xkcd.com/1180


Exploits und 0days

Exploits und 0Days

0day == unbekannter Exploit

Anzahl der 0days auf Android unbekannt

„Statistisch 2-3 Fehler pro 1000 LOC“

  • Android >1 Million LOC  >2k Softwarefehler?

    Exploits reichen von SQL Injection bis zu Browser Exploits

    Mehrals 90% allerAngriffebasieren auf bekanntenLücken


Fakeinstaller trojaner

Fakeinstaller / Trojaner

vs

Tarnen und Täuschen

Spektrum von plumper Täuschung über kopierte Apps

Ausnutzen von bekannten Namen und Logos

Einziger Hinweis sind oft nur die angeforderten Berechtigungen


Rootkits

Rootkits

Erlangen Rootrechte auf dem Gerät

Installieren nativen Code

Nativer Code sendet SMS oder Mails

Der Code wird mit root-Rechten ausgeführt!

Typisch für Botnetze & Spyware


Spyware

Spyware

Motto: Unentdeckt bleiben

zB als Payload eines Trojaners

Daher sehr oft „App bundled“

  • zB Spiel + integrierte Spyware

    professionelle Spionage Software vs „Datenkrake“

    Erkennung oft sehr schwer


Adware

Adware

Finanzierung von Gratisapps

Schätzungen gehen von >50% Adware im Google Play Store aus

Hunderte Adware Netze

  • sehr viele Legitime

  • einige schwarze Schafe

    Infektionsweg durch Adware?

    Methoden

  • Bannerwerbung

  • Icons

  • Browsertheft

  • Pushnachrichten


Adware1

Adware

Push Werbung als Marketingstrategie

  • Es kann die Werbung in der App aktualisiert werden

  • Die Werbung kann personalisiert werden

    Zur Personalisierung werden Daten benötigt

  • IMEI dient zur Device Authentifizierung

  • GPS Daten

  • Telefonnummer (Land)

  • Display Daten

  • Allgemeine Geräte Informationen

    Kann man dem Adnetwork Provider vertrauen

  • … dass die Daten sicher behandelt werden?

  • … dass Standortdaten nicht länger gespeichert bleiben?


Adware2

Adware

Adware verhält sich oft wie ein Botnetz

Erste Variante von Plankton unterstütze dynamisches Laden von .dex Files

Adware mit C&C Struktur

Chinesische Adwareläd im Hintergrund Apps herunter

  • Installiert diese

  • Bewertet sie mit 5 Sternen

  • Deinstalliert die App

    Keine Dokumentation dieser Funktionen!


Malware today

Malware Today

„malwareas a business“

  • Entwickler sind längst keine „Spaßvögel“ mehr sondern hochbezahlte Programmierer die im Untergrund arbeiten

  • Auch geschulte Anwender werden überlistet

  • Sicherheitslücken werden kombiniert und ganze Exploit Kits entwickelt

  • USSD bleibt PoC – da man kein Geld verdient

    Trojaner, Wurm und Virus gibt es kaum noch

    Stichwort: Social Engineering, SpearPhising


Schaden f r den benutzer

Schaden für den Benutzer …

Schaden kann nie direkt klassifiziert werden sondern richtet sich nach dem Benutzer

Pushwerbung?

  • Für viele Menschen kein Schaden!

  • Nervige Werbung, Datenlogging

    Gesperrte SIM Karte? / Premium SMS?

  • Finanzieller Schaden

    SPAM sendende Rootkits?

  • Rechtliches Problem / Finanzieller Schaden

    Spyware?

  • Leak von IMEI bis hin zu Industriespionage / Überwachung


Ist nutzen f r den entwickler

… ist Nutzen für den Entwickler

Pushwerbung

  • Werbung, Provisionen, Malwarevertrieb (?)

    Gesperrte SIM Karte

  • KEIN Nutzen! Daher sind USSD Attacken nicht ITW!

    Premium SMS

  • Wieviel SMS kann Ihr Handy pro Minute senden? Do theMath!

    SPAM Rootkits

  • Blaue Pillen, Abzockseiten, …

    Spyware

  • Bewegungsprofil = Einbruch im Urlaub?

  • Überwachung, Online Banking, Zugangsdaten erbeuten, …


Risikobewertung

Risikobewertung


Ursachen f r malware

Ursachen für Malware

Android möchte eine offene Plattform bieten

Regulierungen sollen kaum vorgenommen werden

Premium SMS == neumodischen Dialer

Geringe Sensibilisierung der Gesellschaft

Verbreitungswege sind noch offen

All-in-One Geräte

  • Computer + UMTS + GSM + hohe Verfügbarkeit

    Extrem hohe Anzahl an Geräten (=potentielle Opfer)


Anwender

Anwender

Faktor Mensch ist nicht zu unterschätzen!

Ein großer Teil von Malware benötigt manuelle Aktionen

Fast jede Malware sagt durch ihre Berechtigung schon etwa aus was sie machen will ( zu ungenau!)

Es ist trendy viele Apps installiert zu haben

Blackbox: Doch was macht die App da eigentlich wirklich?

Verständnis: „Die App braucht das Internet doch sicher zum aktualisieren“


Malware ber den tellerrand

Malware über den Tellerrand

Aber nicht nur Android hat mit Malware zu kämpfen

Jedes System wird früher oder später angegriffen

Auch Industriesteueranlagen, Embedded Systems, Telefone, … sind von Malware betroffen

„Staatstrojaner“: hohes Budget, die besten Entwickler, alle Möglichkeiten – Folge: Stuxnet, Flame, …


Apple ios

Apple iOS

bisher nur 2 Fälle von Malware im AppStore

Aber PUA ebenfalls stark präsent

Strikte Regulierung durch Apple seit Einführung

Apps können nur über AppStore bezogen werden

Allerdings: JailbreakediPhones

  • Viele Fälle von Malware bekannt

  • Exploits für JailbreakediPhones

  • Es gibt wieder einen offenen, unkontrollierten Channel


Windows mobile

Windows Mobile

Meinung über Sicherheit gespalten

Sicherheitsvorkehrungen lassen sich zum Teil umgehen

Erste Malware innerhalb von wenigen Wochen gefunden

Plattform noch zu wenig verbreitet

Roter Oktober Malware installiert Spyware vom PC aus und nutzt dabei spezielle Windows Mobile Lücken


Rim blackberry

RIM BlackBerry

Sichere Plattform, großes Ziel von RIM

Trotzdem Malware, jedoch meist sehr speziell

Betriebsspionage?

Geringe Bekanntheit von Malware hat 3 Schlüsse:

  • Es gibt einfach keine

  • Sie wird nicht von den Findern veröffentlicht

  • Sie wird teuer verkauft und durch NDA geschützt


Nokia symbian

Nokia Symbian

Erste Handy Malware wurde für Symbian entwickelt

Dann große Welle an Symbian Schadsoftware

Einführung von Sicherheitsmaßnahmen

Diese wurden jedoch schnell überwunden


Vektoren

Vektoren


Vektoren1

Vektoren

Jede Technologie bietet einen neuen Angriffsvektor

  • NFC, Bluetooth, Joyn, Facebook, …

    Angreifer muss wissen welches Ziel er verfolgt:

  • Breite Masse angreifen  Erfolgsrate <30% ist schon ausreichend

  • Einzelnes Ziel  Erfolgsrate >95% muss gewährleistet sein!

    Infektion ist fast immer möglich, limitiert durch Zeit & Geld

    Social Engineeringimmer stärkere Komponente

    Wandel von SPAM Mails zum Browser Exploit


Rooted phones

RootedPhones

Erlauben es Programme als Superuser (root) auszuführen

Spezielle App soll Missbrauch verhindern

Lösung für Malware Entwickler:Anbieten einer legitimen App, welche die notwendigen Scripts bundled (zBTether App)

Rooting stellt ein enormes Risiko dar da Sicherheitsfeatures komplett umgangen werden!


Customized roms

Customized ROMs

Erlaubt große Anzahl an neuen Features

Performancesteigerung durch weglassen von Google Services

Bringt oftmals eigene Sicherheitsfeatures mit

Können Sie einem Download trauen?

Rooting erforderlich (kann aber abgeschaltet werden)

Möglichkeit eigenes Firmen-Android zu entwickeln

Problem der Wartbarkeit

  • Hardwareunterstützung

  • Softwaresupport


Noch mehr probleme

Noch mehr Probleme…

Technische Sicherheitslücken werden oft als einziges Problem von technischen Geräten wahrgenommen

Nicht-technische Sicherheitsprobleme

  • Verlorenes Smartphone (Data leakage)

  • Gestohlenes Tablet (Data leakage)

  • Gelöschte SD Karte (Data loss / datacorruption)

  • Defektes Gerät (Data loss / datacorruption)

  • Gestohlene Geräte werden einfach weiter verwendet.Neuinstallation des Systems in den wenigsten Fällen!


Zum beispiel data l eakage

Zum Beispiel: Data Leakage

Daten werden an unbekannte Dritte weitergegeben

Zustimmung in AGB

Überwachung von Personen möglich

  • Genaue Standortprofile

  • Gesprächsprotokolle

    Betriebsspionage

    Staatliche Überwachung

  • Ägypten setzte FinSpy ein

  • Deutschland entwickelt „Bundestrojaner“

    Rechtliche Grauzone!


Bedrohungsszenario

Bedrohungsszenario

In einer Firma werden AndroidSmartphones für die Mitarbeiter eingesetzt. So sollen Kontakte, E-Mails und andere Dienste auch Mobil besser verfügbar sein.

Den Mitarbeitern wird nicht gestattet die Geräte privat zu verwenden. Ein Mitarbeiter hat noch ein altes Gerät, möchte aber nicht auf die Vorzüge eines Smartphones verzichten und verwendet das Gerät auch Privat.

Weil das Gerät noch kein WLAN-Tethering unterstütz, wird es gerooted um eine Tetheringsoftware zu installieren.Das Smartphone wird auch verwendet um Online Banking TANs anzufordern, für Facebook und Online Spiele.

Bei einem Kunden lässt er das Gerät am Tisch liegen, während sie beim Mittagessen sind.


Bedrohungsszenario1

Bedrohungsszenario

Eines der Heruntergeladenen Spiele bringt einen Online Banking Trojaner mit

Es werden mehrere Buchungen vom Konto durchgeführt und das Konto somit weit überzogen

Auf Facebook wird ein Link zu einem vermeintlichen Update für Android verbreitet

Dieses Update ist in Wirklichkeit eine App welche im Hintergrund an alle Kontakte SPAM Mails versendet

Durch den Root zugriff können SMS Trojaner die Nachrichten ohne eine Berechtigung anzufordern senden

Beim Kunden installiert jemand unentdeckt einen Datenlogger und legt das Gerät wieder zurück

Die (Firmen-)Daten vom werden an den Angreifer gesendet


Bedrohungsanalyse

Bedrohungsanalyse

Die gleichen Bedrohungen wie beim PC (Trojaner, Adware, Spyware, …)

Zusätzlicher Faktor der Mobilität

All-in-One – was machen sie alles mit ihrem Smartphone?

Großes Angriffsspektrum durch viele Vektoren

Always On – ermöglicht dauerhaften Internetzugriff

Ein Smartphone hat annähernd die selbe Uptime wie ein Server!

Einschränkungen in der Technik wollen vom Benutzer beseitigt werden

Sehr hohes Vertrauen in die Technik

„Es ist doch nur ein Telefon“


Android malware 2012

Android Malware 2012

1837% Anstieg 2011 zu 2012 von Mobile Malware

Extremer Anstieg an PUA


Android malware 20121

Android Malware 2012

Sample Set: 43.000 Malware Apps

Knapp 5000 Apps waren im

Google Play Store erhältlich!

Frage: Malware = ???

http://forensics.spreitzenbarth.de/2013/01/02/android-malware-summary-2012


10 fragen f r den benutzer

10 Fragen für den Benutzer

Lese ich alle Berechtigungen und weiß was sie bedeuten?

Sind die App Bewertungen gut, gibt es schlechte Kommentare?

Wie hoch ist die Anzahl der Downloads?

Mache ich regelmäßige Updates von Apps und Android?

Ist mein Virenscanner aktuell?

Habe ich automatische Scanvorgänge aktiviert?

Habe ich Premium Nummern bei meinem Provider sperren lassen?

Ist das USB-Debugging auf meinem Gerät deaktiviert?

Ist mein Gerät nicht gerootet / jailbreaked?

Habe ich die installationvon unbekannten Anwendungen verboten?


10 schritte f r die administration

10 Schritte für die Administration

Sicherung des schwächsten Gliedes

Oberflächliche Lösungen / Workarounds vermeiden

Fehlermeldungen absichern

Minimale Berechtigungen

Berechtigungsgruppen nach Aufgaben

KISS

Vermeidung von Security byobscurity

Überprüfung von allem, doppelt

Sicherheit muss Nutzbar sein

Awareness für die Benutzer schaffen


Android security at a glance

Android Security at a glance

Android bringt viele Sicherheitsfeatures mit

Malware versucht diesen gezielt auszuweichen

Der Benutzer wird oft bei der Installation getäuscht

Statistiken zeigen stark erhöhtes Aufkommen in 2012

Prognose für 2013: mehr Exploits, bessere Vertreibswege

  • „Entwicklerkindergarten“ - jetzt kommt die Volksschule

    Werbung ist nicht gleich Werbung

    Bedrohungen sind vielfältig

    Man kann sich schützen!


Smartphone security

Demo

  • Der Benutzer läd sich auf einer Filesharing Seite die neue Version von „Angry Birds“ herunter


Smartphone security

Demo

  • Diese wird nun installiert

  • Es sind dabei keine Berechtigungen angegeben


Smartphone security

Demo

  • Die Anwendung wurde erfolgreich installiert


Smartphone security

Demo

  • Nach dem starten stellt der User fest, dass es kein Angry Birds ist

  • Stattdessen hat er nur einen Downloader heruntergeladen

  • Ein Klick auf den Herunterladen Button und…


Smartphone security

Demo

  • … eine SMS erreicht den Anwender


Smartphone security

Demo

Wie kann eine App ohne Berechtigungen so etwas machen?

  • Ausnutzen eines Exploits

  • Die SMS wurde nie von einem anderen Gerät gesendet

  • SMS wurde von der App nur ins Postfach gespeichert

    Im Worst Case versucht der Anwender nun das vermeintliche Abo zu kündigen

    More Sophistication ( = Social Engineering):

  • SMS nach zufälliger Zeit senden

  • Nach einiger Zeit Mahnungen senden

  • Echtes Angry Birds installieren


Ikarus mobile security

IKARUS mobile.security

Virenscanner

AdwareScanner

URL-Filter

SMS-Blacklist

SMS-Fernsteuerung

Kommt mittelfristig


Hauptfeature virenscanner

Hauptfeature: Virenscanner

Was wird gescannt?

  • Installierte Apps

  • Dateien auf der Speicherkarte

    Wann wird gescannt?

  • Manuell gestartet

  • Automatisch in geplanten Intervallen

  • Automatisch nach App-Installationen und wichtigen Änderungen auf Speicherkarte

    Was geschieht mit Infektionen?

  • Werden in Liste erfasst

  • Können vom Benutzer gelöscht werden

  • Können an IKARUS geschickt werden („in unserem Labor kostenlos analysieren“)


Extra features sms

Extra-Features: SMS

Jetzt neu: mit Notruf-Möglichkeit!

Fernsteuerung für den Fall „Handy gestohlen oder verlegt“:

  • User schickt von anderem Handy SMS mit Passwort und Kommando-Code an eigene Telefonnummer

  • Orten: Handy ermittelt Position via GPS oder Netzwerk und schickt diese in Antwort-SMS zurück

  • Löschen: Handy auf Werkszustand zurücksetzen (Schadensbegrenzung bei Diebstahl oder Verlust)

  • Sperren: Gesamtes Handy wird mit Passwortabfrage blockiert

  • Alarm: Sperren mit zusätzlichem Alarmsignal-Sound.

    SMS-Blacklist:

  • Telefonnummer in Liste eintragen, wahlweise direkt aus Adressbuch

  • SMS von eingetragenen Nummern werden „verschluckt“


Technische einschr nkungen

Technische Einschränkungen

Android: offenes System, aber kein Sonderstatus für unsere App

Kein vollständiger Dateisystem-Zugriff.

Anrufe blockieren schon ab 2.1 auf vernünftige Weise möglich

Oftmals User-Zustimmung über nicht selbst gestaltbare System-Dialoge nötig:

  • App als „Geräte-Administrator“ festlegen für „Löschen“-Fernkontrollkommando

  • App als „Standard-Homescreen“ festlegen für Sperren und Alarm

  • Bestätigung bei App-Deinstallationen nach Virenfunden

    Nicht mit Windows-Desktopanwendung vergleichbar!


Rooting als l sung

Rooting als Lösung

Durch Root Rechte könnten alle Probleme beseitigt werden

Jedoch Gefahr von Missbrauch

Nicht geeignet für den Endanwender

Funktioniert nicht auf jedem Gerät

Daher kein Rooting!


K nftige weiterentwicklung

Künftige Weiterentwicklung

Neue Features:

  • URL-Filter

  • Adware Scanner

  • QR-Code-Scanner für Aktivierungscodes

  • Tablet Layout


Url filter

URL-Filter

Browser-Zugriff auf bestimmte URLs blockieren

Bereits als Proof of Concept vorhanden

Grundidee: IKARUS stellt URL-Blacklist zur Verfügung, App überwacht Browser-History und leitet bei bösen URLs auf Warn-Seite weiter

Kein lückenloser Schutz!


Bedrohungsminimierung

Bedrohungsminimierung

Virenscanner zum finden von bekannter Malware

SMS Feature bei verlorenem Gerät

URL Scanner gegen Webbasierte Angriffen

AdwareScanner gegen PUA

Verwenden von AndroidBoardmitteln statt Schaffung von Sicherheitslücken durch Rooting


Smartphone security

Q & A

Sebastian Bachmann

[email protected]

IKARUS Security Software GmbH


  • Login