Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sécuriser ses appels réseau Android, de 2009 à ...

Michaël Ohayon
November 28, 2019
Technology
0
14

Sécuriser ses appels réseau Android, de 2009 à 2019

Si, il y a 10 ans, à cause d'un écosystème encore en construction, HTTPS était un protocole complexe à mettre en place, aujourd'hui il semble que c'est l'inverse.

Rejouons l'histoire pour découvrir et comprendre ensemble les différentes failles de sécurité qui ont poussé le Web à passer sur HTTPS ainsi que les implémentations associées sur Android.

À travers du code et des analyses, implémentons, cassons et sécurisons ensemble du code réseau pour comprendre comment nous en sommes arrivés aux implémentations actuelles.

Nous découvrirons ensuite les limitations de 2019 : pouvons-nous empêcher tout le monde d'analyser notre trafic ? Qu'est-il possible de faire aujourd'hui, quels sont les risques pour l'utilisateur, le développeur, l'entreprise ? Quels sont les outils et bonnes pratiques pour empêcher ou au moins ralentir et complexifier nos analyses réseau par des personnes malicieuses ?

Michaël Ohayon, Développer Android

Michaël Ohayon

November 28, 2019
Tweet

More Decks by Michaël Ohayon

See All by Michaël Ohayon
Bringing your Flutter App to the Web
mikklfr
0
47
KED - Prompt Security
mikklfr
0
17
FRAUG - Point sécu Android 2020
mikklfr
0
64
Android et qualité logicielle
mikklfr
0
13
Securing Network Calls on Android, from 2009 to 2019
mikklfr
0
100

Other Decks in Technology

See All in Technology
Gradle: The Build System That Loves To Hate You
aurimas
2
140
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
5
49k
Shift-from-React-to-Vue
calm1205
3
1.3k
CAMERA-Suite: 広告文生成のための評価スイート / ai-camera-suite
cyberagentdevelopers
PRO
3
270
10分でわかるfreee エンジニア向け会社説明資料
freee
18
520k
신뢰할 수 있는 AI 검색 엔진을 만들기 위한 Liner의 여정
huffon
0
330
「 SharePoint 難しい」ってよく聞くけど、そんなに言うなら8歳の息子に試してもらった
taichinakamura
1
620
pandasはPolarsに性能面で追いつき追い越せるのか
vaaaaanquish
4
4.5k
Aurora_BlueGreenDeploymentsやってみた
tsukasa_ishimaru
1
120
Jr. Championsになって、強く連携しながらAWSをもっと使いたい!~AWSに対する期待と行動~
amixedcolor
0
190
端末が簡単にリモートから操作されるデモを通じて ソフトウェアサプライチェーン攻撃対策の重要性を理解しよう
kitaji0306
0
170
LeSSに潜む「隠れWF病」とその処方箋
lycorptech_jp
PRO
2
120

Featured

See All Featured
A Modern Web Designer's Workflow
chriscoyier
692
190k
4 Signs Your Business is Dying
shpigford
180
21k
Gamification - CAS2011
davidbonilla
80
5k
The Cult of Friendly URLs
andyhume
78
6k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Building Better People: How to give real-time feedback that sticks.
wjessup
363
19k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
46
2.1k
Producing Creativity
orderedlist
PRO
341
39k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
355
29k
RailsConf 2023
tenderlove
29
880
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
32
1.8k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k

Transcript

  1. Sécuriser ses appels réseau Android, de 2009 à 2019

  2. Qui suis-je ? OHAYON MICHAËL Consultant Android @mikkL Xebian depuis

    3 ans

  3. Tout le monde possède un téléphone avec des applications

  4. #3 Netflix #8 WhatsApp #27 Microsoft Outlook #54 Doctolib #106

    Crédit Agricole #109 Assurance maladie Top des applications sur le Google Play Store

  5. #3 Netflix (Mot de passe général) #8 WhatsApp (Messages, photos)

    #27 Microsoft Outlook (Travail) #54 Doctolib (Médical) #106 Crédit Agricole (Banque) #109 Assurance maladie (Identité, Médical) Top des applications sur le Google Play Store

  6. Étudions comment le web a mis à jour ses standards

    de sécurité

  7. 1997

  8. Le web en 1997

  9. HTTP 1.1

  10. HTTP 1.1

  11. HTTP 1.1

  12. HTTP 1.1

  13. HTTP 1.1

  14. 2006

  15. Le web dans les années 2000

  16. 2008

  17. Today, we're making it even easier for you to use

    https to protect your mail every time you access it. We've added an option to Settings to always use https. https://gmail.googleblog.com/2008/07/making-security-easier.html 24 Juillet 2008

  18. Today, we're making it even easier for you to use

    https to protect your mail every time you access it. We've added an option to Settings to always use https. If you don't regularly log in via unencrypted wireless connections at coffee shops or airports or college dorms, then you might not need this additional layer of security. https://gmail.googleblog.com/2008/07/making-security-easier.html 24 Juillet 2008

  19. Today, we're making it even easier for you to use

    https to protect your mail every time you access it. We've added an option to Settings to always use https. If you don't regularly log in via unencrypted wireless connections at coffee shops or airports or college dorms, then you might not need this additional layer of security. But if you want to always use https, then this setting makes it super easy. Whenever you forget to type https://mail.google.com, we'll add the https for you https://gmail.googleblog.com/2008/07/making-security-easier.html 24 Juillet 2008

  20. 2009

  21. 23 Septembre 2009

  22. 2009 Android 1.6

  23. Pourquoi HTTPS est il si important ? Est il difficile

    d'intercepter le trafic HTTP ?

  24. ARP Spoofing en 2 minutes

  25. ARP Spoofing en 2 minutes

  26. ARP Spoofing en 2 minutes

  27. ARP Spoofing en 2 minutes

  28. ARP Spoofing en 2 minutes

  29. ARP Spoofing en 2 minutes

  30. ARP Spoofing en 2 minutes

  31. ARP Spoofing en 2 minutes

  32. ARP Spoofing en 2 minutes

  33. Sans HTTPS Tout le monde peut voir ce qu'il se

    passe

  34. We now use https by default for all Facebook users.

    This feature, which we first introduced as an option two years ago, means that your browser is told to communicate with Facebook using a secure connection, as indicated by the "https" rather than "http" in https://www.facebook.com. https://www.facebook.com/notes/facebook-engineering/secure-browsing-by-default/10151590414803920/ 31 Juillet 2013

  35. Comment fonctionne HTTPS ?

  36. Infrastructure à clé https://www.thesslstore.com/blog/root-certificates-intermediate

  37. https://android.googlesource.com/platform/system/ca-certificates/+/master/files Infrastructure à clé

  38. Infrastructure à clé

  39. Infrastructure à clé

  40. Pourquoi le déploiement du HTTPS a-t-il pris autant de temps

    ?

  41. Un accès avancé au serveur est requis pas seulement un

    accès FTP. . Prérequis technique

  42. Pourquoi payer quand ça fonctionne ? Le prix

  43. Le manque de documentation

  44. Le manque d'outil d'automatisation

  45. Pas si simple

  46. 2016

  47. This specification defines "secure contexts", thereby allowing user agent implementers

    and specification authors to enable certain features only when certain minimum standards of authentication and confidentiality are met. https://www.w3.org/TR/secure-contexts 15 Septembre 2016

  48. Warning: Direct access to the camera is a powerful feature.

    It requires consent from the user, and your site MUST be on a secure origin (HTTPS). https://developers.google.com/web/fundamentals/media/capturing-images/ 15 Septembre 2016

  49. 2018

  50. "Chrome will mark all HTTP sites as ‘not secure’ starting

    in July" https://www.theverge.com/2018/2/8/16991254/chrome-not-secure-marked-http-encryption-ssl 8 Février 2018

  51. Android 9

  52. Est il simple de passer au HTTPS ?

  53. Est il simple de passer au HTTPS ? OUI !

  54. None

  55. Est ce que tous mes problèmes de sécurité seront résolus

    ?

  56. Est ce que tous mes problèmes de sécurité seront résolus

    ? NON

  57. Quels sont les risques de ce système ?

  58. Mozilla was recently notified that an intermediate certificate, which chains

    up to a root included in Mozilla’s root store, was loaded into a firewall device that performed SSL man-in-the-middle (MITM) traffic management. It was then used, during the process of inspecting traffic, to generate certificates for domains the device owner does not legitimately own or control. The Certificate Authority (CA) has told us that this action was not permitted by their policies and practices and the agreement with their customer, and they have revoked the intermediate certificate that was loaded into the firewall device. While this is not a Firefox-specific issue, to protect our users we are adding the revoked certificate to OneCRL, our mechanism for directly sending revocation information to Firefox which will be shipping in Firefox 37. https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/ 23 Mars 2015

  59. China Internet Network Information Center (CNNIC), a non-profit organization administrated

    by Cyberspace Administration of China (CAC), operates the “CNNIC Root” and “China Internet Network Information Center EV Certificates Root” certificates that are included in NSS, and used to issue certificates to organizations and the general public. CNNIC issued an unconstrained intermediate certificate that was labeled as a test certificate and had a two week validity, expiring April 3, 2015. Their customer loaded this certificate into a firewall device which performed SSL MITM, and a user inside their network accessed other servers, causing the firewall to issue certificates for domains that this customer did not own or control. Mozilla’s CA Certificate Policy prohibits certificates from being used in this manner when they chain up to a root certificate in Mozilla’s CA program. https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/ 23 Mars 2015

  60. Abus de confiance https://www.thesslstore.com/blog/root-certificates-intermediate/

  61. Late on December 3rd, we became aware of unauthorized digital

    certificates for several Google domains. We investigated immediately and found the certificate was issued by an intermediate certificate authority (CA) linking back to ANSSI, a French certificate authority. Intermediate CA certificates carry the full authority of the CA, so anyone who has one can use it to create a certificate for any website they wish to impersonate. In response, we updated Chrome’s certificate revocation metadata immediately to block that intermediate CA, and then alerted ANSSI and other browser vendors. Our actions addressed the immediate problem for our users. https://security.googleblog.com/2013/12/further-improving-digital-certificate.html 7 Décembre 2013

  62. Est-ce possible sous Android ?

  63. Est-ce possible sous Android ? OUI

  64. L'exemple du "débug"

  65. Abus de confiance

  66. Abus de confiance

  67. Automatisation

  68. Comment l'empêcher ?

  69. Comment l'empêcher ? Puis-je tout contrôler ?

  70. Certification privée

  71. Est-ce que je peux tout faire ?

  72. Est-ce que je peux tout faire ? Ça dépend

  73. Est-ce que je peux tout faire ? Non Dans le

    cas où les appareils ne sont pas administrés par vous comme dans le cas d'un site Internet public

  74. Est-ce que je peux tout faire ? Oui Si vous

    avez le contrôle sur les appareils ou le code de vérification.

  75. OkHttp Certificate Pinner sous Android

  76. Bravo ! Vous avez appris le certificate pinning.

  77. None

  78. Est-ce que je dois épingler mes certificats ? OUI (Penser

    à la pérennité)

  79. Est-ce que tous mes soucis seront résolus ?

  80. Est-ce que tous mes soucis seront résolus ? Non (Mais

    la plupart oui)

  81. De quoi devrais-je me méfier ?

  82. De quoi devrais-je me méfier ? Le social engineering

  83. Ingénierie sociale https://www.androidpolice.com/2018/06/03/fake-fortnite-apks-dont-tricked-downloading-one/

  84. De quoi devrais-je me méfier ?

  85. De quoi devrais-je me méfier ? Le reverse engineering

  86. Décompilation https://blog.bramp.net/post/2015/08/01/decompile-and-recompile-android-apk/

  87. Interception d'appels

  88. Automatisation https://github.com/ac-pm/SSLUnpinning_Xposed

  89. Automatisation https://github.com/ac-pm/SSLUnpinning_Xposed

  90. Dois-je m'inquiéter ?

  91. Dois-je m'inquiéter ? Au niveau mobile, non.

  92. Dois-je m'inquiéter ? Au niveau mobile, non. L'équipe serveur devrait

    se méfier.

  93. • Il est temps de passer à HTTPS si ce

    n'est pas encore fait. • L'épinglage de certificats est une bonne pratique. • Les canaux de livraisons classiques sont généralement à privilégier. • Le trafic pourra être inspecté sous certaines conditions. • Le risque côté mobile est restreint mais pas côté serveur. Récapitulatif

  94. Des questions ? @Xebiconfr - #Xebicon19