Ähnlich wie TARGI MOBILNE, Wiosenne hartowanie czyli jak się nie dać nsa i złośliwej pokojówce, Michał Biliński, niebezpiecznik.pl/LizardMobile, (10)
10. The big question
!10
A co z szyfrowaniem?!
■
Spec? OK
■
Algorytm: A5/1,A5/2
2003+
■
Klucz: 64 (54) bity
■
Lata 80te i wielkie
decyzje
http://www.aftenposten.no/nyheter/uriks/Sources-We-were-
pressured-to-weaken-the-mobile-security-in-
the-80s-7413285.html
50. Raport HP Fortify
!50
9/10 aplikacji
podatnych
71% podatności po stronie web serwera
75% aplikacji: brak szyfrowania danych
15% aplikacji: hasła/usernames via HTTP
18% pozostałych aplikacji: błędna implementacja SSL/HTTPS
86% aplikacji: brak ochrony kodu
51. Przykład podatności 1: Google Wallet
■
początek 2012
!51https://viaforensics.com/mobile-security/forensics-security-analysis-google-wallet.html
52. Przykład podatności 1: Google Wallet
■
obraz PNG karty kredytowej z wypełnionymi danymi
■
/data/data/com.google.android.apps.walletnfcrel/cache
■
nazwy plików: 32 znaki; hex: 00502c2ef25cff75c6aa0f76a98c2f5f
!52https://viaforensics.com/mobile-security/forensics-security-analysis-google-wallet.html
■
$APP_DIR/databases
■
google_analytics.db
■
walletDatastore
■
webview.db
■
webviewCache.db
53. Przykład podatności 1: Google Wallet
!53https://viaforensics.com/mobile-security/forensics-security-analysis-google-wallet.html
X3:fc89d233-a55f-4815-9a19-ba9eb121feba
$fc89d233-a55f-4815-9a19-ba9eb121feba
MasterCard-xxx-9999"
Andrew HoogP Imię i nazwisko
99,999.99 Limit karty
2,222.22 Dostępne środki
1,111.11 Do zapłaty
Oct 9, 20110 Do dnia
&bKhttps://www.accountonline.com/cards/svc/img/mobile/cards/C_DIV_W_Mobile.pngj
9999 Ostatnie 4 cyfry karty
Citi
877-762-2989
(…)
Citi MasterCardP Card type
$a367cb1e-e246-4a39-bd8b-e46f74d4867b
100.00
Email
XXXXXX@SOMEEMAILDOMAIN.net Email użyty do rejestracji karty
$fc89d233-a55f-4815-9a19-ba9eb121feba
(…)
651 South Blvd Adres sklepu, gdzie dokonano zakupu
Oak Park, IL 60302
Oak Park, Illinois 60302*
Khttps://www.accountonline.com/cards/svc/img/mobile/cards/C_DIV_W_Mobile.png
9999"01*152 Ostanie 4 cyfry i data ważności karty
Andrew Hoog8 My name
MasterCard-xxx-9999 Ostatnie 4 cyfry
(…)
@c27e508c6baac1d100a1193300abe7e721c7adc264edfe8b9c68b8613e0debdd
MYGMAILACCOUNT@gmail.com*^ Konto GMail
54. Przykład podatności 1: Google Wallet
!54https://viaforensics.com/mobile-security/forensics-security-analysis-google-wallet.html
10-06 10:06:30.995 I/SIMPLE_SOAP_CLIENT( 401): Sending the following request:
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ser="http://
citi.com/msm/v1.0/paypass/ota/personalization/service" xmlns:mes="http://citi.com/msm/v1.0/
paypass/ota/personalization/service/messages" xmlns:com="http://citi.com/msm/v1.0/paypass/ota/
personalization/common"> <soapenv:Header/
><soapenv:Body><ser:initiatePersonalizationRequest><mes:requestHeader><com:deviceToken></
com:deviceToken><com:IMEI>A000002A292F80</
com:IMEI><com:CPLC>01:R5BQREeRAHgzABBBApR0lUiWAAAAAAAAAAAIBCYyOTQ3NA==</com:CPLC></
mes:requestHeader><mes:KYC><mes:name>xxx</mes:name><mes:accountNumber>xxx9999</
mes:accountNumber><mes:expirationDate>xxx</mes:expirationDate><mes:YOB>xxx</
mes:YOB><mes:zipCode>xxx</mes:zipCode></
mes:KYC><mes:deviceInfo><com:IMEI>A000002A292F80</com:IMEI></mes:deviceInfo></
ser:initiatePersonalizationRequest></soapenv:Body></soapenv:Envelope>
Logi systemowe mogą być odczytywane przez aplikacje
(android.permission.READ_LOGS).
55. Przykład podatności 1: Google Wallet
■
tabela ‘metadata’ (security by obscurity?) i 3 wiersze z blobami:
■
rowid: ’gmad_bytes_are_fun’ (zaszyfrowany FileSystem do komunikacji
z SecureElement?)
■
rowid: ’deviceInfo’ (Google ProtocolBuffers):
■
.proto file
■
Unique User IDs (UUID), Google (GAIA) account information
■
Cloud to Device Messaging (C2DM “push notification”) AI,
■
Google Wallet Setup status
■
“TSA” (“Trusted Services”?) status
■
SecureElement status
■
“Card Production Lifecycle” (CPLC) data
■
PIN information section
!55https://zvelo.com/blog/entry/google-wallet-security-pin-exposure-vulnerability
56. Przykład podatności 1: Google Wallet
■
PIN information section
■
sól (salt)
■
SHA256 hex encoded “hash”
■
PINy mogą być tylko 4-cyfrowe
■
Brute-force For The Win!
■
liczymy 10000 hashy SHA256
■
wymaganie: telefon zrootowany
■
zabezpieczenie Google Wallet: limit 5 niepoprawnych
PINów
!56https://zvelo.com/blog/entry/google-wallet-security-pin-exposure-vulnerability
57. Przykład podatności 2: Skype
■
2011: CVE-2011-1717
■
przechowywanie danych poufnych:
■
userID + contact information (DOB)
■
numery telefonów
■
logi czatów
■
baza danych sqlite3
■
dane niezaszyfrowane
■
uprawnienia: world readable!
!57https://zvelo.com/blog/entry/google-wallet-security-pin-exposure-vulnerability