ANDROID
FREIMENGENMANAGER
Abschlusspräsentation Bakk-Arbeit
Stefan Bürger
Übersicht
• Vorstellungen des Themas

• Technische Grundlagen
• Der Freimengenmanager im Detail
• Live-Demo
• Android Sich...
Große Menge inkludierter Freimengen

Kostenkontrolle

Android
Freimengenmanager
Notfallalamierung

Einfaches Tool mit Pass...
Android Grundlagen
• Betriebssystem
Linux Kernel 2.6
Dalvik VM

• AndroidManifest

• Intentverarbeitung

18.11.2013

goo.g...
Intents
• Messagepassing-System (late runtime binding)

• Aktivieren Activities, Services, Broadcast-Receivers
• Verwendet...
Eine Android Anwendung besteht aus:
Broadcast Receivers
Services
Notifications

18.11.2013

Activities

Intents

Widgets

...
Android Freimengenmanager
• Admin Oberfläche

• Anrufüberwachung
Anrufzeit messen
Ausgehende Anrufe bemerken

Anrufe abbre...
Admin Oberfläche
• Passwortschutz

• Aktivierung/Deaktivierung der Überwachung
• Eingabe von Frei-SMS und Freiminuten
• Rü...
Anrufzeit messen
• Android stellt callLogs zur Verfügung
Datenbank mit Informationen der letzten Anrufe
Abfrage SQL ähnlic...
Fang den ausgehenden Anruf
• Berechtigung und Intent-Filter im AndroidManifest

• Aufruf der CallReceiver Klasse
Aktiv?
Au...
Benachrichtigungsservice
• Eigene Klasse zur zentralen Verwaltung von
Benachrichtigungen
• Ausgelöst durch Intent an die K...
Offene Punkte / technische Grenzen
• Ausnahmen für einzelne Kontakte

• Technische Grenzen
Abfangen ausgehender SMS
Zählen...
LIVE – DEMO
Freimengenmanager

18.11.2013

goo.gl/iPZMf

Folie - 13
Android‘s Sicherheitskonzept
• Überblick

• Bezug zum Freimengenmanager
• Angriffsszenario: Missbrauch des
Freimengenmanag...
Sicherheitskonzept im Überblick
• Application Sandboxing

• Sehr freien Zugriff auf Betriebssystemkomponenten
• Rechteanfo...
Android Freimengenmanager
• Angeforderte Berechtigungen
Lesen/Senden von SMS-Nachrichten
Verarbeiten ausgehender Anrufe
Le...
simple
Missbrauch des Freimengenmanagers
User‘s Android Device
Keyboard
sniffer

Web browser

web
server

User
mTAN
manipu...
advanced
Missbrauch des Freimengenmanagers
User‘s Android Device
Keyboard
sniffer

Web browser

Native SMS
listener

New S...
LIVE – DEMO
Sicherheit

18.11.2013

goo.gl/iPZMf

Folie - 19
Erste Ansätze für mehr Sicherheit
• Priorisierte Intents können überwacht werden

• Priorität 0 = Letzter, Priorität 1000 ...
ANDROID
FREIMENGENMANAGER
goo.gl/iPZMf
Abschlusspräsentation Bakk-Arbeit
Stefan Bürger
<uses-permission android:name="android.permission.READ_PHONE_STATE" />
<uses-permission android:name="android.permission.R...
Nächste SlideShare
Wird geladen in …5
×

Bachelorarbeit - Androidsicherheit kritisch betrachtet

749 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
749
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
4
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Bachelorarbeit - Androidsicherheit kritisch betrachtet

  1. 1. ANDROID FREIMENGENMANAGER Abschlusspräsentation Bakk-Arbeit Stefan Bürger
  2. 2. Übersicht • Vorstellungen des Themas • Technische Grundlagen • Der Freimengenmanager im Detail • Live-Demo • Android Sicherheitskonzept und –Risiken • Live-Demo 18.11.2013 goo.gl/iPZMf Folie - 2
  3. 3. Große Menge inkludierter Freimengen Kostenkontrolle Android Freimengenmanager Notfallalamierung Einfaches Tool mit Passwortschutz Definierbare Ausnahmen Eltern haben hohes Überwachungsverlangen Günstige Telefonie Verträge 18.11.2013 goo.gl/iPZMf Folie - 3
  4. 4. Android Grundlagen • Betriebssystem Linux Kernel 2.6 Dalvik VM • AndroidManifest • Intentverarbeitung 18.11.2013 goo.gl/iPZMf Folie - 4
  5. 5. Intents • Messagepassing-System (late runtime binding) • Aktivieren Activities, Services, Broadcast-Receivers • Verwendet von: Betriebssystem Entwicklern • Passive Datenstruktur (Ziel + Daten) • Explizite vs. Implizite Intents 18.11.2013 goo.gl/iPZMf Folie - 5
  6. 6. Eine Android Anwendung besteht aus: Broadcast Receivers Services Notifications 18.11.2013 Activities Intents Widgets Content Providers goo.gl/iPZMf Folie - 6
  7. 7. Android Freimengenmanager • Admin Oberfläche • Anrufüberwachung Anrufzeit messen Ausgehende Anrufe bemerken Anrufe abbrechen • Benachrichtigungsservice • Offene Punkte / technische Grenzen 18.11.2013 goo.gl/iPZMf Folie - 7
  8. 8. Admin Oberfläche • Passwortschutz • Aktivierung/Deaktivierung der Überwachung • Eingabe von Frei-SMS und Freiminuten • Rücksetzen der verbrauchten Freimengen • Festlegen der Benachrichtigungsnummer 18.11.2013 goo.gl/iPZMf Folie - 8
  9. 9. Anrufzeit messen • Android stellt callLogs zur Verfügung Datenbank mit Informationen der letzten Anrufe Abfrage SQL ähnlich (Daten, Felder, Sortierung) Cursor zum Iterieren • Telefonstatus überwachen • Die Frage des richtigen Timings 18.11.2013 goo.gl/iPZMf Folie - 9
  10. 10. Fang den ausgehenden Anruf • Berechtigung und Intent-Filter im AndroidManifest • Aufruf der CallReceiver Klasse Aktiv? Auslesen der Zieltelefonnummer und checken ob Notruf Überprüfen der verfügbaren Freiminuten Anrufabbruch durch Löschen der Zieltelefonnummer Auslösen des Benachrichtigungsservics 18.11.2013 goo.gl/iPZMf Folie - 10
  11. 11. Benachrichtigungsservice • Eigene Klasse zur zentralen Verwaltung von Benachrichtigungen • Ausgelöst durch Intent an die Klasse unter Angabe der gewünschten Benachrichtigung • Zusatzfeature zum Senden einer SMS-Nachricht 18.11.2013 goo.gl/iPZMf Folie - 11
  12. 12. Offene Punkte / technische Grenzen • Ausnahmen für einzelne Kontakte • Technische Grenzen Abfangen ausgehender SMS Zählen von SMS-Nachrichten 18.11.2013 goo.gl/iPZMf Folie - 12
  13. 13. LIVE – DEMO Freimengenmanager 18.11.2013 goo.gl/iPZMf Folie - 13
  14. 14. Android‘s Sicherheitskonzept • Überblick • Bezug zum Freimengenmanager • Angriffsszenario: Missbrauch des Freimengenmanagers • Erste Ansätze für mehr Sicherheit 18.11.2013 goo.gl/iPZMf Folie - 14
  15. 15. Sicherheitskonzept im Überblick • Application Sandboxing • Sehr freien Zugriff auf Betriebssystemkomponenten • Rechteanforderung bei Installation Deny-all Prinzip Bestätigung durch den Benutzer Danach keine Anzeige/Abfrage mehr 18.11.2013 goo.gl/iPZMf Folie - 15
  16. 16. Android Freimengenmanager • Angeforderte Berechtigungen Lesen/Senden von SMS-Nachrichten Verarbeiten ausgehender Anrufe Lesen der Kontaktdaten Überwachung des Telefonstatus SMS-Nachrichten empfangen • Nur durch Benachrichtigungen sichtbar 18.11.2013 goo.gl/iPZMf Folie - 16
  17. 17. simple Missbrauch des Freimengenmanagers User‘s Android Device Keyboard sniffer Web browser web server User mTAN manipulation Native SMS listener 18.11.2013 New SMS listener goo.gl/iPZMf Folie - 17
  18. 18. advanced Missbrauch des Freimengenmanagers User‘s Android Device Keyboard sniffer Web browser Native SMS listener New SMS listener web server User Native SMS listener mTAN manipulation 18.11.2013 goo.gl/iPZMf Folie - 18
  19. 19. LIVE – DEMO Sicherheit 18.11.2013 goo.gl/iPZMf Folie - 19
  20. 20. Erste Ansätze für mehr Sicherheit • Priorisierte Intents können überwacht werden • Priorität 0 = Letzter, Priorität 1000 = Erster • Überwachung der abgearbeiteten Intents Broadcast-Receiver für alle sinnvollen Broadcast-Intents Erster, Letzter Entdecken von modifizierten, gelöschten und (eingeschleusten) Intents 18.11.2013 goo.gl/iPZMf Folie - 20
  21. 21. ANDROID FREIMENGENMANAGER goo.gl/iPZMf Abschlusspräsentation Bakk-Arbeit Stefan Bürger
  22. 22. <uses-permission android:name="android.permission.READ_PHONE_STATE" /> <uses-permission android:name="android.permission.READ_CONTACTS" /> <uses-permission android:name="android.permission.SEND_SMS" /> <uses-permission android:name="android.permission.READ_SMS" /> <uses-permission android:name="android.permission.PROCESS_OUTGOING_CALLS" /> <application android:icon="@drawable/icon" android:label="@string/app_name" android:name=".fmApp"> <receiver android:name=".call.CallReceiver"> <intent-filter android:priority="0"> <action android:name="android.intent.action.NEW_OUTGOING_CALL"/> </intent-filter> </receiver> 18.11.2013 goo.gl/iPZMf

×