Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Типичные Проблемы Безопасности в Приложениях дл...

Andrey Belenko
October 28, 2014
Programming
1
250

Типичные Проблемы Безопасности в Приложениях для iOS

Andrey Belenko

October 28, 2014
Tweet

More Decks by Andrey Belenko

See All by Andrey Belenko
On the Security of the iCloud Keychain
belenko
4
2.7k
iCloud Keychain and iOS 7 Data Protection
belenko
0
680
Dark and Bright Sides of the iCloud (In)Security
belenko
1
310
Evolution of iOS Data Protection and iPhone Forensics: 
from iPhone OS to iOS 5
belenko
1
110
Evolution of iOS Data Protection and iPhone Forensics: from iPhone OS to iOS 5
belenko
2
170
Secure Password Managers” and “Military-Grade Encryption” on Smartphones: Oh, Really?
belenko
1
86

Other Decks in Programming

See All in Programming
OnlineTestConf: Test Automation Friend or Foe
maaretp
0
120
flutterkaigi_2024.pdf
kyoheig3
0
150
エンジニアとして関わる要件と仕様(公開用)
murabayashi
0
300
Tauriでネイティブアプリを作りたい
tsucchinoko
0
370
subpath importsで始めるモック生活
10tera
0
320
どうして僕の作ったクラスが手続き型と言われなきゃいけないんですか
akikogoto
1
120
C++でシェーダを書く
fadis
6
4.1k
cmp.Or に感動した
otakakot
3
210
Jakarta EE meets AI
ivargrimstad
0
260
ローコードSaaSのUXを向上させるためのTypeScript
taro28
1
630
React への依存を最小にするフロントエンド設計
takonda
8
2.1k
Jakarta EE meets AI
ivargrimstad
0
710

Featured

See All Featured
KATA
mclloyd
29
14k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
For a Future-Friendly Web
brad_frost
175
9.4k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
Designing the Hi-DPI Web
ddemaree
280
34k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
130
Speed Design
sergeychernyshev
25
620

Transcript

  1. ТИПИЧНЫЕ ПРОБЛЕМЫ БЕЗОПАСНОСТИ В ПРИЛОЖЕНИЯХ ДЛЯ IOS Андрей Беленко viaForensics

  2. Интернет

  3. Интернет

  4. ПРИЛОЖЕНИЕ • Небезопасное хранение данных • Утечки данных • “Неправильная”

    криптография • Слабая защита исполняемых файлов • Многое другое. См. OWASP Mobile Top 10

  5. ДАННЫЕ ПРИЛОЖЕНИЯ • Приложение выполняется в песочнице • Приложения не

    имеют доступа к “чужим” песочницам Это не означает что данные недоступны извне

  6. ДАННЫЕ ПРИЛОЖЕНИЯ • File Sharing (через iTunes или Xcode) •

    iTunes Backup (включая Keychain!) • iCloud • com.apple.mobile.house_arrest • Джейлбрейк

  7. Доступ к песочнице приложения с помощью iExplorer

  8. Данные учетной записи хранятся в NSUserDefaults

  9. УЧЕТНЫЕ ЗАПИСИ • Никогда не храните в NSUserDefaults или CoreData

    • Используйте Keychain • Используйте наиболее строгий класс защиты при котором приложение еще работает

  10. КОНФИДЕНЦИАЛЬНЫЕ ДАННЫЕ • Избегайте использования NSUserDefaults и CoreData • Используйте

    Data Protection • Используйте наиболее строгий класс защиты при котором приложение еще работает • Используя NSUserDefaults или CoreData обеспечьте дополнительную защиту

  11. КЛАССЫ ЗАЩИТЫ Файл NSFileProtection… Keychain kSecAttrAccessible… None Always(ThisDeviceOnly) Complete WhenUnlocked(ThisDeviceOnly)

    CompleteUnlessOpen CompleteUntilFirstUserAuthentication AfterFirstUnlock(ThisDeviceOnly)

  12. УТЕЧКИ ДАННЫХ • Логи • Удалите (или #ifdef) вывод логов

    в Release конфигурации • Cookies и кэши • См. NSURLCache, NSHTTPCookieStorage • Указывайте политики при создании запросов • Скриншоты • applicationDidEnterBackground:

  13. КРИПТОГРАФИЯ • Не используйте статические ключи • Не реализуйте криптографию

    самостоятельно • Не придумывайте собственные алгоритмы или протоколы • Если нестандартная криптография необходима – найдите профессионала

  14. ИСПОЛНЯЕМЫЕ ФАЙЛЫ • Борьба с эксплоитами • -fstack-protector(-strong, -all) •

    ASLR • DRM, интеллектуальная собственность • Обфускация

  15. ОБФУСКАЦИЯ?

  16. None
  17. None

  18. ОБФУСКАЦИЯ • Strip; минимум строк в исполняемом файле • C++

    вместо Objective-C • Static linking • https://github.com/obfuscator-llvm • http://tigress.cs.arizona.edu Делайте это только если Вы понимаете что делаете и если это Вам действительно нужно!

  19. Интернет

  20. Интернет

  21. ИНТЕРНЕТ • Никогда не используйте незащищенные протоколы (такие как HTTP)

    • Используйте их защищенный вариант (HTTPS) • Используйте их правильно (да, это сложная часть)

  22. КАК УСТРОЕН SSL? Соединение Сертификат ОК? Продолжить сессию да нет:

    завершить сессию N.B.: на самом деле SSL намного более сложный протокол

  23. СЕРТИФИКАТЫ • Проверка сертификата чрезвычайно важна • Не используйте самоподписанные

    сертификаты в production • Если возможно, используйте фиксацию (“pinning”) сертификатов

  24. ПРОВЕРКА СЕРТИФИКАТА Доверять Не доверять да нет БД доверенных ЦС

    iOS 8: ~ 250 ЦС Сертификат подписан одним из доверенных центров сертификации?

  25. ПРОВЕРКА СЕРТИФИКАТА • Любой, кто может подписывать сертификаты одним из

    доверенных ЦС может организовать MITM • Это не уязвимость протокола; просто PKI так устроено • Вероятно, именно это произошло с iCloud.com в Китае на прошлой неделе

  26. ФИКСАЦИЯ СЕРТИФИКАТА Доверять Не доверять да нет Приложение ожидает именно

    этот сертификат?

  27. ФИКСАЦИЯ СЕРТИФИКАТА • Удостоверяет что приложение общается с владельцем Вашего

    закрытого ключа: • или с Вами… • …или с кем-то кто серьезно “взломал” Ваш бэкэнд • Подменяет хранилище корневых ЦС

  28. НО ЭТО НЕ ВСЕ…

  29. SSL СЛОМАН Ему уже ~18 лет и ему пора на

    покой TLS заменяет собой SSL

  30. ИНТЕРНЕТ • Запретите использование SSL в приложениях и на серверах

    • Используйте TLS (желательно 1.2) с шифрами AEAD • Фиксируйте или хотя бы полноценно проверяйте сертификаты • Убедитесь что все “обходы” проверок сертификата отключены/удалены в Release коде

  31. Интернет

  32. Интернет

  33. СЕРВЕР • Сохраняйте площадь атаки минимальной • Не раскрывайте test/qa/dev/debug

    интерфейсы • Не доверяйте данным, получаемым от клиентов • Обеспечьте защиту передачи данных: • TLS (1.2) со стойкими AEAD-шифрами

  34. Q & A

  35. https://www.viaprotect.com/lab/

  36. СПАСИБО! [email protected] @abelenko