SlideShare ist ein Scribd-Unternehmen logo

Bachelorarbeit - Androidsicherheit kritisch betrachtet

Als PPTX, PDF herunterladen
S
Stefan Bürger
Technologie
1 von 22
ANDROID FREIMENGENMANAGER Abschlusspräsentation Bakk-Arbeit Stefan Bürger
Übersicht • Vorstellungen des Themas • Technische Grundlagen • Der Freimengenmanager im Detail • Live-Demo • Android Sicherheitskonzept und –Risiken • Live-Demo 18.11.2013 goo.gl/iPZMf Folie - 2
Große Menge inkludierter Freimengen Kostenkontrolle Android Freimengenmanager Notfallalamierung Einfaches Tool mit Passwortschutz Definierbare Ausnahmen Eltern haben hohes Überwachungsverlangen Günstige Telefonie Verträge 18.11.2013 goo.gl/iPZMf Folie - 3
Android Grundlagen • Betriebssystem Linux Kernel 2.6 Dalvik VM • AndroidManifest • Intentverarbeitung 18.11.2013 goo.gl/iPZMf Folie - 4
Intents • Messagepassing-System (late runtime binding) • Aktivieren Activities, Services, Broadcast-Receivers • Verwendet von: Betriebssystem Entwicklern • Passive Datenstruktur (Ziel + Daten) • Explizite vs. Implizite Intents 18.11.2013 goo.gl/iPZMf Folie - 5
Eine Android Anwendung besteht aus: Broadcast Receivers Services Notifications 18.11.2013 Activities Intents Widgets Content Providers goo.gl/iPZMf Folie - 6
Android Freimengenmanager • Admin Oberfläche • Anrufüberwachung Anrufzeit messen Ausgehende Anrufe bemerken Anrufe abbrechen • Benachrichtigungsservice • Offene Punkte / technische Grenzen 18.11.2013 goo.gl/iPZMf Folie - 7
Admin Oberfläche • Passwortschutz • Aktivierung/Deaktivierung der Überwachung • Eingabe von Frei-SMS und Freiminuten • Rücksetzen der verbrauchten Freimengen • Festlegen der Benachrichtigungsnummer 18.11.2013 goo.gl/iPZMf Folie - 8
Anrufzeit messen • Android stellt callLogs zur Verfügung Datenbank mit Informationen der letzten Anrufe Abfrage SQL ähnlich (Daten, Felder, Sortierung) Cursor zum Iterieren • Telefonstatus überwachen • Die Frage des richtigen Timings 18.11.2013 goo.gl/iPZMf Folie - 9
Fang den ausgehenden Anruf • Berechtigung und Intent-Filter im AndroidManifest • Aufruf der CallReceiver Klasse Aktiv? Auslesen der Zieltelefonnummer und checken ob Notruf Überprüfen der verfügbaren Freiminuten Anrufabbruch durch Löschen der Zieltelefonnummer Auslösen des Benachrichtigungsservics 18.11.2013 goo.gl/iPZMf Folie - 10
Benachrichtigungsservice • Eigene Klasse zur zentralen Verwaltung von Benachrichtigungen • Ausgelöst durch Intent an die Klasse unter Angabe der gewünschten Benachrichtigung • Zusatzfeature zum Senden einer SMS-Nachricht 18.11.2013 goo.gl/iPZMf Folie - 11
Offene Punkte / technische Grenzen • Ausnahmen für einzelne Kontakte • Technische Grenzen Abfangen ausgehender SMS Zählen von SMS-Nachrichten 18.11.2013 goo.gl/iPZMf Folie - 12
LIVE – DEMO Freimengenmanager 18.11.2013 goo.gl/iPZMf Folie - 13
Android‘s Sicherheitskonzept • Überblick • Bezug zum Freimengenmanager • Angriffsszenario: Missbrauch des Freimengenmanagers • Erste Ansätze für mehr Sicherheit 18.11.2013 goo.gl/iPZMf Folie - 14
Sicherheitskonzept im Überblick • Application Sandboxing • Sehr freien Zugriff auf Betriebssystemkomponenten • Rechteanforderung bei Installation Deny-all Prinzip Bestätigung durch den Benutzer Danach keine Anzeige/Abfrage mehr 18.11.2013 goo.gl/iPZMf Folie - 15
Android Freimengenmanager • Angeforderte Berechtigungen Lesen/Senden von SMS-Nachrichten Verarbeiten ausgehender Anrufe Lesen der Kontaktdaten Überwachung des Telefonstatus SMS-Nachrichten empfangen • Nur durch Benachrichtigungen sichtbar 18.11.2013 goo.gl/iPZMf Folie - 16
simple Missbrauch des Freimengenmanagers User‘s Android Device Keyboard sniffer Web browser web server User mTAN manipulation Native SMS listener 18.11.2013 New SMS listener goo.gl/iPZMf Folie - 17
advanced Missbrauch des Freimengenmanagers User‘s Android Device Keyboard sniffer Web browser Native SMS listener New SMS listener web server User Native SMS listener mTAN manipulation 18.11.2013 goo.gl/iPZMf Folie - 18
LIVE – DEMO Sicherheit 18.11.2013 goo.gl/iPZMf Folie - 19
Erste Ansätze für mehr Sicherheit • Priorisierte Intents können überwacht werden • Priorität 0 = Letzter, Priorität 1000 = Erster • Überwachung der abgearbeiteten Intents Broadcast-Receiver für alle sinnvollen Broadcast-Intents Erster, Letzter Entdecken von modifizierten, gelöschten und (eingeschleusten) Intents 18.11.2013 goo.gl/iPZMf Folie - 20
ANDROID FREIMENGENMANAGER goo.gl/iPZMf Abschlusspräsentation Bakk-Arbeit Stefan Bürger
<uses-permission android:name="android.permission.READ_PHONE_STATE" /> <uses-permission android:name="android.permission.READ_CONTACTS" /> <uses-permission android:name="android.permission.SEND_SMS" /> <uses-permission android:name="android.permission.READ_SMS" /> <uses-permission android:name="android.permission.PROCESS_OUTGOING_CALLS" /> <application android:icon="@drawable/icon" android:label="@string/app_name" android:name=".fmApp"> <receiver android:name=".call.CallReceiver"> <intent-filter android:priority="0"> <action android:name="android.intent.action.NEW_OUTGOING_CALL"/> </intent-filter> </receiver> 18.11.2013 goo.gl/iPZMf

Empfohlen

Verteidigung Masterarbeit "Entwicklung eines E-Learning Programms zur Steiger...
Verteidigung Masterarbeit "Entwicklung eines E-Learning Programms zur Steiger...Verteidigung Masterarbeit "Entwicklung eines E-Learning Programms zur Steiger...
Verteidigung Masterarbeit "Entwicklung eines E-Learning Programms zur Steiger...Daniela Wolf
 
Demokratisches stipendium
Demokratisches stipendiumDemokratisches stipendium
Demokratisches stipendiumffeats
 
Pfadplanung mit harmonischen Potentialfeldern
Pfadplanung mit harmonischen PotentialfeldernPfadplanung mit harmonischen Potentialfeldern
Pfadplanung mit harmonischen PotentialfeldernJohannes Diemke
 
Präsentation der Masterarbeit: Mobil Healt& Fitness - Anforderungsanalyse für...
Präsentation der Masterarbeit: Mobil Healt& Fitness - Anforderungsanalyse für...Präsentation der Masterarbeit: Mobil Healt& Fitness - Anforderungsanalyse für...
Präsentation der Masterarbeit: Mobil Healt& Fitness - Anforderungsanalyse für...Nadine Edelmann
 
Verteidigung Masterarbeit
Verteidigung MasterarbeitVerteidigung Masterarbeit
Verteidigung Masterarbeitwruge
 
Kolloqium Bachelorarbeit V1
Kolloqium Bachelorarbeit V1Kolloqium Bachelorarbeit V1
Kolloqium Bachelorarbeit V1Nils Meder
 
Verteidigung der MasterThesis
Verteidigung der MasterThesisVerteidigung der MasterThesis
Verteidigung der MasterThesischris2newz
 
Bachelor Thesis
Bachelor ThesisBachelor Thesis
Bachelor ThesisStefan Kennedie
 

Empfohlen

Verteidigung Masterarbeit "Entwicklung eines E-Learning Programms zur Steiger...
Verteidigung Masterarbeit "Entwicklung eines E-Learning Programms zur Steiger...Verteidigung Masterarbeit "Entwicklung eines E-Learning Programms zur Steiger...
Verteidigung Masterarbeit "Entwicklung eines E-Learning Programms zur Steiger...Daniela Wolf
 
Demokratisches stipendium
Demokratisches stipendiumDemokratisches stipendium
Demokratisches stipendiumffeats
 
Pfadplanung mit harmonischen Potentialfeldern
Pfadplanung mit harmonischen PotentialfeldernPfadplanung mit harmonischen Potentialfeldern
Pfadplanung mit harmonischen PotentialfeldernJohannes Diemke
 
Präsentation der Masterarbeit: Mobil Healt& Fitness - Anforderungsanalyse für...
Präsentation der Masterarbeit: Mobil Healt& Fitness - Anforderungsanalyse für...Präsentation der Masterarbeit: Mobil Healt& Fitness - Anforderungsanalyse für...
Präsentation der Masterarbeit: Mobil Healt& Fitness - Anforderungsanalyse für...Nadine Edelmann
 
Verteidigung Masterarbeit
Verteidigung MasterarbeitVerteidigung Masterarbeit
Verteidigung Masterarbeitwruge
 
Kolloqium Bachelorarbeit V1
Kolloqium Bachelorarbeit V1Kolloqium Bachelorarbeit V1
Kolloqium Bachelorarbeit V1Nils Meder
 
Verteidigung der MasterThesis
Verteidigung der MasterThesisVerteidigung der MasterThesis
Verteidigung der MasterThesischris2newz
 
Bachelor Thesis
Bachelor ThesisBachelor Thesis
Bachelor ThesisStefan Kennedie
 
Bachelor-Verteidigung
Bachelor-VerteidigungBachelor-Verteidigung
Bachelor-Verteidigungwruge
 
Bachelor Thesis Presentation
Bachelor Thesis PresentationBachelor Thesis Presentation
Bachelor Thesis Presentationanderspurup
 
Kolloquium
KolloquiumKolloquium
KolloquiumTobias Kalder
 
Präsentation der Bachelorarbeit
Präsentation der BachelorarbeitPräsentation der Bachelorarbeit
Präsentation der Bachelorarbeitalm13
 
Verteidigung
VerteidigungVerteidigung
VerteidigungHS Heilbronn
 
Bachelor\'s Thesis Presentation
Bachelor\'s Thesis PresentationBachelor\'s Thesis Presentation
Bachelor\'s Thesis PresentationNatalia_Ladygina
 
Formale Fundierung und effizientere Implementierung der schrittbasierten TLDA...
Formale Fundierung und effizientere Implementierung der schrittbasierten TLDA...Formale Fundierung und effizientere Implementierung der schrittbasierten TLDA...
Formale Fundierung und effizientere Implementierung der schrittbasierten TLDA...Universität Rostock
 
Präsentation Defensio Masterarbeit
Präsentation Defensio MasterarbeitPräsentation Defensio Masterarbeit
Präsentation Defensio MasterarbeitGerhard Pilz
 
Gündlkofen vortrag sabine zeitner kumpfmpüller und vitus lechner
Gündlkofen vortrag sabine zeitner kumpfmpüller und vitus lechnerGündlkofen vortrag sabine zeitner kumpfmpüller und vitus lechner
Gündlkofen vortrag sabine zeitner kumpfmpüller und vitus lechnerfrakra09
 
Placas tectónicas
Placas tectónicasPlacas tectónicas
Placas tectónicasAndrea Tejera
 
Arte neoclásico
Arte neoclásicoArte neoclásico
Arte neoclásicoSilvia Garavaglia
 
Bilan gpf algorithmique_site
Bilan gpf algorithmique_siteBilan gpf algorithmique_site
Bilan gpf algorithmique_siteWael Ismail
 
Die ppt von der polnischen schule
Die ppt von der polnischen schuleDie ppt von der polnischen schule
Die ppt von der polnischen schuleElżbieta Dziedzicka
 
Tecnologías limpias
Tecnologías limpiasTecnologías limpias
Tecnologías limpiasfrancisco giraldo
 
Miniolimpiada 2010 2011 español
Miniolimpiada 2010 2011 españolMiniolimpiada 2010 2011 español
Miniolimpiada 2010 2011 españolCEASIMON
 
Quel Web pour 2016 ? - Patatalk 2013
Quel Web pour 2016 ? - Patatalk 2013Quel Web pour 2016 ? - Patatalk 2013
Quel Web pour 2016 ? - Patatalk 2013Stephane PERES
 
Grue flottante presentation
Grue flottante presentationGrue flottante presentation
Grue flottante presentationStaPel0292
 
Olimpiada de conocimientos5°grado
Olimpiada de conocimientos5°gradoOlimpiada de conocimientos5°grado
Olimpiada de conocimientos5°gradoCEASIMON
 
El teorema de pitagoras 1
El teorema de pitagoras 1El teorema de pitagoras 1
El teorema de pitagoras 1Herney Rozo
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
Demo Google Search Appliance
Demo Google Search ApplianceDemo Google Search Appliance
Demo Google Search ApplianceUnic
 
Automatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-ProzessAutomatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-Prozessx-celerate
 

Weitere ähnliche Inhalte

Andere mochten auch

Bachelor-Verteidigung
Bachelor-VerteidigungBachelor-Verteidigung
Bachelor-Verteidigungwruge
 
Bachelor Thesis Presentation
Bachelor Thesis PresentationBachelor Thesis Presentation
Bachelor Thesis Presentationanderspurup
 
Präsentation der Bachelorarbeit
Präsentation der BachelorarbeitPräsentation der Bachelorarbeit
Präsentation der Bachelorarbeitalm13
 
Bachelor\'s Thesis Presentation
Bachelor\'s Thesis PresentationBachelor\'s Thesis Presentation
Bachelor\'s Thesis PresentationNatalia_Ladygina
 
Formale Fundierung und effizientere Implementierung der schrittbasierten TLDA...
Formale Fundierung und effizientere Implementierung der schrittbasierten TLDA...Formale Fundierung und effizientere Implementierung der schrittbasierten TLDA...
Formale Fundierung und effizientere Implementierung der schrittbasierten TLDA...Universität Rostock
 
Präsentation Defensio Masterarbeit
Präsentation Defensio MasterarbeitPräsentation Defensio Masterarbeit
Präsentation Defensio MasterarbeitGerhard Pilz
 
Gündlkofen vortrag sabine zeitner kumpfmpüller und vitus lechner
Gündlkofen vortrag sabine zeitner kumpfmpüller und vitus lechnerGündlkofen vortrag sabine zeitner kumpfmpüller und vitus lechner
Gündlkofen vortrag sabine zeitner kumpfmpüller und vitus lechnerfrakra09
 
Bilan gpf algorithmique_site
Bilan gpf algorithmique_siteBilan gpf algorithmique_site
Bilan gpf algorithmique_siteWael Ismail
 
Miniolimpiada 2010 2011 español
Miniolimpiada 2010 2011 españolMiniolimpiada 2010 2011 español
Miniolimpiada 2010 2011 españolCEASIMON
 
Quel Web pour 2016 ? - Patatalk 2013
Quel Web pour 2016 ? - Patatalk 2013Quel Web pour 2016 ? - Patatalk 2013
Quel Web pour 2016 ? - Patatalk 2013Stephane PERES
 
Grue flottante presentation
Grue flottante presentationGrue flottante presentation
Grue flottante presentationStaPel0292
 
Olimpiada de conocimientos5°grado
Olimpiada de conocimientos5°gradoOlimpiada de conocimientos5°grado
Olimpiada de conocimientos5°gradoCEASIMON
 
El teorema de pitagoras 1
El teorema de pitagoras 1El teorema de pitagoras 1
El teorema de pitagoras 1Herney Rozo
 

Andere mochten auch (19)

Bachelor-Verteidigung
Bachelor-VerteidigungBachelor-Verteidigung
Bachelor-Verteidigung
 
Bachelor Thesis Presentation
Bachelor Thesis PresentationBachelor Thesis Presentation
Bachelor Thesis Presentation
 
Kolloquium
KolloquiumKolloquium
Kolloquium
 
Präsentation der Bachelorarbeit
Präsentation der BachelorarbeitPräsentation der Bachelorarbeit
Präsentation der Bachelorarbeit
 
Verteidigung
VerteidigungVerteidigung
Verteidigung
 
Bachelor\'s Thesis Presentation
Bachelor\'s Thesis PresentationBachelor\'s Thesis Presentation
Bachelor\'s Thesis Presentation
 
Formale Fundierung und effizientere Implementierung der schrittbasierten TLDA...
Formale Fundierung und effizientere Implementierung der schrittbasierten TLDA...Formale Fundierung und effizientere Implementierung der schrittbasierten TLDA...
Formale Fundierung und effizientere Implementierung der schrittbasierten TLDA...
 
Präsentation Defensio Masterarbeit
Präsentation Defensio MasterarbeitPräsentation Defensio Masterarbeit
Präsentation Defensio Masterarbeit
 
Gündlkofen vortrag sabine zeitner kumpfmpüller und vitus lechner
Gündlkofen vortrag sabine zeitner kumpfmpüller und vitus lechnerGündlkofen vortrag sabine zeitner kumpfmpüller und vitus lechner
Gündlkofen vortrag sabine zeitner kumpfmpüller und vitus lechner
 
Placas tectónicas
Placas tectónicasPlacas tectónicas
Placas tectónicas
 
Arte neoclásico
Arte neoclásicoArte neoclásico
Arte neoclásico
 
Bilan gpf algorithmique_site
Bilan gpf algorithmique_siteBilan gpf algorithmique_site
Bilan gpf algorithmique_site
 
Die ppt von der polnischen schule
Die ppt von der polnischen schuleDie ppt von der polnischen schule
Die ppt von der polnischen schule
 
Tecnologías limpias
Tecnologías limpiasTecnologías limpias
Tecnologías limpias
 
Miniolimpiada 2010 2011 español
Miniolimpiada 2010 2011 españolMiniolimpiada 2010 2011 español
Miniolimpiada 2010 2011 español
 
Quel Web pour 2016 ? - Patatalk 2013
Quel Web pour 2016 ? - Patatalk 2013Quel Web pour 2016 ? - Patatalk 2013
Quel Web pour 2016 ? - Patatalk 2013
 
Grue flottante presentation
Grue flottante presentationGrue flottante presentation
Grue flottante presentation
 
Olimpiada de conocimientos5°grado
Olimpiada de conocimientos5°gradoOlimpiada de conocimientos5°grado
Olimpiada de conocimientos5°grado
 
El teorema de pitagoras 1
El teorema de pitagoras 1El teorema de pitagoras 1
El teorema de pitagoras 1
 

Ähnlich wie Bachelorarbeit - Androidsicherheit kritisch betrachtet

SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
Demo Google Search Appliance
Demo Google Search ApplianceDemo Google Search Appliance
Demo Google Search ApplianceUnic
 
Automatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-ProzessAutomatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-Prozessx-celerate
 
Lizenzen laufen lassen oder per Lock-Down sperren
Lizenzen laufen lassen oder per Lock-Down sperrenLizenzen laufen lassen oder per Lock-Down sperren
Lizenzen laufen lassen oder per Lock-Down sperrenteam-WIBU
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile securityPeter Teufl
 
OSMC 2013 | Monitoring als Quelle der Wahrheit im Wellendeployment einer dyna...
OSMC 2013 | Monitoring als Quelle der Wahrheit im Wellendeployment einer dyna...OSMC 2013 | Monitoring als Quelle der Wahrheit im Wellendeployment einer dyna...
OSMC 2013 | Monitoring als Quelle der Wahrheit im Wellendeployment einer dyna...NETWAYS
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk
 
NETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
NETFOX Admin-Treff: Operative Umsetzung von BSI-GrundschutzkonzeptenNETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
NETFOX Admin-Treff: Operative Umsetzung von BSI-GrundschutzkonzeptenNETFOX AG
 
Einfache Migration von 3rd Party-Lizenzierungs-Systemen
Einfache Migration von 3rd Party-Lizenzierungs-SystemenEinfache Migration von 3rd Party-Lizenzierungs-Systemen
Einfache Migration von 3rd Party-Lizenzierungs-Systementeam-WIBU
 
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankÜber Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankGunther Pippèrr
 
Tipps zur Performanceoptimierung für Liferay Portal
Tipps zur Performanceoptimierung für Liferay PortalTipps zur Performanceoptimierung für Liferay Portal
Tipps zur Performanceoptimierung für Liferay PortalStefan Hilpp
 
GWAVACon: ZENworks Mobile Management (deutsch)
GWAVACon: ZENworks Mobile Management (deutsch)GWAVACon: ZENworks Mobile Management (deutsch)
GWAVACon: ZENworks Mobile Management (deutsch)GWAVA
 
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...go4mobile ag
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Agenda Europe 2035
 
Schutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-GeräteSchutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-Geräteteam-WIBU
 
DevicePro Flyer deutsch
DevicePro Flyer deutschDevicePro Flyer deutsch
DevicePro Flyer deutschcynapspro GmbH
 
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?QAware GmbH
 

Ähnlich wie Bachelorarbeit - Androidsicherheit kritisch betrachtet (20)

SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
 
Demo Google Search Appliance
Demo Google Search ApplianceDemo Google Search Appliance
Demo Google Search Appliance
 
Automatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-ProzessAutomatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-Prozess
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
 
Lizenzen laufen lassen oder per Lock-Down sperren
Lizenzen laufen lassen oder per Lock-Down sperrenLizenzen laufen lassen oder per Lock-Down sperren
Lizenzen laufen lassen oder per Lock-Down sperren
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
OSMC 2013 | Monitoring als Quelle der Wahrheit im Wellendeployment einer dyna...
OSMC 2013 | Monitoring als Quelle der Wahrheit im Wellendeployment einer dyna...OSMC 2013 | Monitoring als Quelle der Wahrheit im Wellendeployment einer dyna...
OSMC 2013 | Monitoring als Quelle der Wahrheit im Wellendeployment einer dyna...
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
 
NETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
NETFOX Admin-Treff: Operative Umsetzung von BSI-GrundschutzkonzeptenNETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
NETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
 
Einfache Migration von 3rd Party-Lizenzierungs-Systemen
Einfache Migration von 3rd Party-Lizenzierungs-SystemenEinfache Migration von 3rd Party-Lizenzierungs-Systemen
Einfache Migration von 3rd Party-Lizenzierungs-Systemen
 
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankÜber Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
 
Tipps zur Performanceoptimierung für Liferay Portal
Tipps zur Performanceoptimierung für Liferay PortalTipps zur Performanceoptimierung für Liferay Portal
Tipps zur Performanceoptimierung für Liferay Portal
 
GWAVACon: ZENworks Mobile Management (deutsch)
GWAVACon: ZENworks Mobile Management (deutsch)GWAVACon: ZENworks Mobile Management (deutsch)
GWAVACon: ZENworks Mobile Management (deutsch)
 
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
 
Firewalls
FirewallsFirewalls
Firewalls
 
Spirit4M - Entreprise Mobile Device Management im Griff
Spirit4M - Entreprise Mobile Device Management im GriffSpirit4M - Entreprise Mobile Device Management im Griff
Spirit4M - Entreprise Mobile Device Management im Griff
 
Schutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-GeräteSchutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-Geräte
 
DevicePro Flyer deutsch
DevicePro Flyer deutschDevicePro Flyer deutsch
DevicePro Flyer deutsch
 
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
 

Bachelorarbeit - Androidsicherheit kritisch betrachtet

  • 2. Übersicht • Vorstellungen des Themas • Technische Grundlagen • Der Freimengenmanager im Detail • Live-Demo • Android Sicherheitskonzept und –Risiken • Live-Demo 18.11.2013 goo.gl/iPZMf Folie - 2
  • 3. Große Menge inkludierter Freimengen Kostenkontrolle Android Freimengenmanager Notfallalamierung Einfaches Tool mit Passwortschutz Definierbare Ausnahmen Eltern haben hohes Überwachungsverlangen Günstige Telefonie Verträge 18.11.2013 goo.gl/iPZMf Folie - 3
  • 4. Android Grundlagen • Betriebssystem Linux Kernel 2.6 Dalvik VM • AndroidManifest • Intentverarbeitung 18.11.2013 goo.gl/iPZMf Folie - 4
  • 5. Intents • Messagepassing-System (late runtime binding) • Aktivieren Activities, Services, Broadcast-Receivers • Verwendet von: Betriebssystem Entwicklern • Passive Datenstruktur (Ziel + Daten) • Explizite vs. Implizite Intents 18.11.2013 goo.gl/iPZMf Folie - 5
  • 6. Eine Android Anwendung besteht aus: Broadcast Receivers Services Notifications 18.11.2013 Activities Intents Widgets Content Providers goo.gl/iPZMf Folie - 6
  • 7. Android Freimengenmanager • Admin Oberfläche • Anrufüberwachung Anrufzeit messen Ausgehende Anrufe bemerken Anrufe abbrechen • Benachrichtigungsservice • Offene Punkte / technische Grenzen 18.11.2013 goo.gl/iPZMf Folie - 7
  • 8. Admin Oberfläche • Passwortschutz • Aktivierung/Deaktivierung der Überwachung • Eingabe von Frei-SMS und Freiminuten • Rücksetzen der verbrauchten Freimengen • Festlegen der Benachrichtigungsnummer 18.11.2013 goo.gl/iPZMf Folie - 8
  • 9. Anrufzeit messen • Android stellt callLogs zur Verfügung Datenbank mit Informationen der letzten Anrufe Abfrage SQL ähnlich (Daten, Felder, Sortierung) Cursor zum Iterieren • Telefonstatus überwachen • Die Frage des richtigen Timings 18.11.2013 goo.gl/iPZMf Folie - 9
  • 10. Fang den ausgehenden Anruf • Berechtigung und Intent-Filter im AndroidManifest • Aufruf der CallReceiver Klasse Aktiv? Auslesen der Zieltelefonnummer und checken ob Notruf Überprüfen der verfügbaren Freiminuten Anrufabbruch durch Löschen der Zieltelefonnummer Auslösen des Benachrichtigungsservics 18.11.2013 goo.gl/iPZMf Folie - 10
  • 11. Benachrichtigungsservice • Eigene Klasse zur zentralen Verwaltung von Benachrichtigungen • Ausgelöst durch Intent an die Klasse unter Angabe der gewünschten Benachrichtigung • Zusatzfeature zum Senden einer SMS-Nachricht 18.11.2013 goo.gl/iPZMf Folie - 11
  • 12. Offene Punkte / technische Grenzen • Ausnahmen für einzelne Kontakte • Technische Grenzen Abfangen ausgehender SMS Zählen von SMS-Nachrichten 18.11.2013 goo.gl/iPZMf Folie - 12
  • 14. Android‘s Sicherheitskonzept • Überblick • Bezug zum Freimengenmanager • Angriffsszenario: Missbrauch des Freimengenmanagers • Erste Ansätze für mehr Sicherheit 18.11.2013 goo.gl/iPZMf Folie - 14
  • 15. Sicherheitskonzept im Überblick • Application Sandboxing • Sehr freien Zugriff auf Betriebssystemkomponenten • Rechteanforderung bei Installation Deny-all Prinzip Bestätigung durch den Benutzer Danach keine Anzeige/Abfrage mehr 18.11.2013 goo.gl/iPZMf Folie - 15
  • 16. Android Freimengenmanager • Angeforderte Berechtigungen Lesen/Senden von SMS-Nachrichten Verarbeiten ausgehender Anrufe Lesen der Kontaktdaten Überwachung des Telefonstatus SMS-Nachrichten empfangen • Nur durch Benachrichtigungen sichtbar 18.11.2013 goo.gl/iPZMf Folie - 16
  • 17. simple Missbrauch des Freimengenmanagers User‘s Android Device Keyboard sniffer Web browser web server User mTAN manipulation Native SMS listener 18.11.2013 New SMS listener goo.gl/iPZMf Folie - 17
  • 18. advanced Missbrauch des Freimengenmanagers User‘s Android Device Keyboard sniffer Web browser Native SMS listener New SMS listener web server User Native SMS listener mTAN manipulation 18.11.2013 goo.gl/iPZMf Folie - 18
  • 20. Erste Ansätze für mehr Sicherheit • Priorisierte Intents können überwacht werden • Priorität 0 = Letzter, Priorität 1000 = Erster • Überwachung der abgearbeiteten Intents Broadcast-Receiver für alle sinnvollen Broadcast-Intents Erster, Letzter Entdecken von modifizierten, gelöschten und (eingeschleusten) Intents 18.11.2013 goo.gl/iPZMf Folie - 20
  • 22. <uses-permission android:name="android.permission.READ_PHONE_STATE" /> <uses-permission android:name="android.permission.READ_CONTACTS" /> <uses-permission android:name="android.permission.SEND_SMS" /> <uses-permission android:name="android.permission.READ_SMS" /> <uses-permission android:name="android.permission.PROCESS_OUTGOING_CALLS" /> <application android:icon="@drawable/icon" android:label="@string/app_name" android:name=".fmApp"> <receiver android:name=".call.CallReceiver"> <intent-filter android:priority="0"> <action android:name="android.intent.action.NEW_OUTGOING_CALL"/> </intent-filter> </receiver> 18.11.2013 goo.gl/iPZMf