Segurança em aplicativos móveis de comunicação - Cnasi 2016

Parceiro
Segurança em aplicativos
móveis de comunicação

2
Tiago Tavares
• Bacharel em Sistemas de Informação / UNIFIEO, Osasco
• Pós-graduado em Gerenciamento de Redes e Segurança da
Informação / UNIFIEO, Osasco
• 12 anos de experiência em TI, sendo 5 focados em Segurança da
Informação.
• Entre as principais certificações estão LPI-2, ComTIA Security+,
CEH e CISSP.
@tiagotvrs

3
• Official (ISC)2 Guide to the CISSP CBK, 4th
Edition.
• The Mobile Application Hacker’s Handbook
• Cyber Security Principles: Mobile Devices –
Security Hazards and Threats
Referências bibliográficas

Dispositivos móveis têm o potencial de se tornarem a maior ameaça de
vazamento de informações confidenciais.

• Introdução
• Ameaças, Vulnerabilidades e Riscos
• Test/Analysis modus operandi
– Cases
– Pentesting
• Mundo corporativo
• Conclusão

• Os aplicativos para mobile tem sido criados para as todas as funções
imagináveis, e a cada dia surge uma novidade. Os marketplaces da Apple
and Google contêm cerca de 2 milhões de aplicativos disponíveis juntos.
– Transações bancárias (Bancos, corretoras)
– Transporte (Uber)
– Locação de acomodações (Airbnb)
– Compras (Amazon)
– Redes Sociais (Facebook)
– Streaming (Spotify)
– Jogos de azar (Betfair)
– Mensagens instantâneas (WhatsApp)
– Voice chat (Skype)
– E-mail (Gmail)
– Compartilhamento de arquivos(Dropbox)
– Games (Angry Birds)

• Houve uma convergência na necessidade do desenvolvimento visando
atender o e-commerce, habilitando os usuários a realizar transações como
compra de produtos, compra de ingressos, ponto de venda, transações
bancárias e etc.
• Mas assim como em desktops, o mundo mobile está suscetível aos
tradicionais spywares, trojans e software mal escrito.
• Dispositivos móveis e seus aplicativos foram desenhados para trabalhar
sobre todo o espectro pessoal do usuário, fazendo com que os riscos sejam
diferentes da computação tradicional.

Segurança em aplicativos móveis de comunicação - Cnasi 2016

• Usuários até 2025: 5.4 bi (66% da população mundial baseado no
crescimento dos usuários de Internet)
• Utilização do mobile em transações até 2017: US$ 450 mi
– Ate 2020, 50% das transações serão feitas pelo mobile, e em 2025 80%.
• Adoção do mobile até 2017 (Reino Unido):
– Smartphones – 96%
– Tablets – 53%
• IoT
– Até 2019 serão 17 bi de dispositivos smart ligados à rede.
Fonte: www.three.co.uk

O Dispositivo
1) Browser
• Phishing
• Framing
• Clickjacking
• Man In The Middle
• Buffer Overflow
• Data Caching
2) Telefone/SMS
• Baseband attack
• Smishing
3) Apps
• Sensitive Data Storage
• No/Weak Encryption
• Improper SSL Validation
• Config manipulation
• Dynamic Runtime injection
• Unintended permissions
• Escalated privileges
• Access to devices and User
Info
A Rede
1. A rede
• Wi-fi (no/weak
encryption)
• Rogue Access point
• Packet sniffing
• Man in the middle
• Session hijacking
• DNS poisoning
• SSLStrip
• Fake SSL Certificate
O Data Center
1) Web Server
• Vulnerabilidades nas
plataformas
• Má configuração
• Cross-site scripting
(XSS)
• Cross-site request
Forgery (XSRF)
• Weak Input Validation
• Brute Force Attacks
2) Database
• SQL Injection
• Privilege scalation
• Data dumping
• OS Command Execution

• Monitoramento
– Audio
– Camera
– Histórico de chamadas
– Localização
– Mensagens SMS
• Financeiro
– Smishing
– Ransomware
– Roubo de Transaction
Authentication Numbers (TAN)
• Atividade de Botnet
– Ataque DDoS
– Fraude em clique
• Roubo de informação
• Dados do usuário
• Contatos
• Roubo de dados explorando
vulnerabilidade de apps
• Roubo de International Mobile
Equipment Identity Number
(IMEI)
• Personificação
• Redirecionamento de SMS
• Envio de E-mails
• Postagem em mídias sociais
Dados = poder = $$$
Lei Carolina Dieckmann
12.737/2012

• 16mi de dispositivos mobile são infectados
todos os dias
• 6 a cada 20 ameaças são spyphones;
• 14% das residências estão infectados com
malwares.
Fonte: Alcatel-Lucent.com

• Desenvolvedores não têm ciência dos riscos
– Falta de testes nos mais diversos cenários
– Devem ter ciência que não pode confiar em nada (dispositivo, usuário,
rede)
– Muitos acreditam que não precisam criptografar ou proteger os dados
no dispositivo, pois a criptografia no transporte do dado já seria
suficiente.
• Tempo e $$$
– Baixos orçamentos tornam a entrega mais importante que a qualidade
– Mesmo em projetos com a presença de um time de segurança, o
escasso tempo de análise torna o trabalho desafiador.
– Métodos de desenvolvimento com o Agile, na qual há muitas
interações em curto espaço de tempo pode intensificar este desafio.

• Surgimento de novos vetores
– As pesquisas avançam e novas vulnerabilidades são
encontradas
• Desenvolvimento customizado
– Quando se está desenvolvendo múltiplas aplicações,
os componentes que são adequadamente testados
são reutilizados em diversos projetos. Isso torna o
código do projeto mais robusto e seguro.
– Quando há a má utilização destes códigos,
vulnerabilidades podem surgir.

Fonte: www.owasp.org
• A Open Web Application Security Project (OWASP) é uma organização sem
fins lucrativos cujo foco é ajudar na pesquisa desenvolvimento de
software seguro.
• O projeto provê recursos gratuítos onde classificam cada risco
desenvolvem documentos sobre controles que ajudam a mitigar estes
riscos.

• Weak Server Side Controls
– Bastidores bagunçado.
• Insecure Data Storage
– Achou que área não seria invadida, lá vem o
jailbreak/root...
• Insufficient Transport Layer
– Tráfego sem criptografia.
• Unintended Data Leakage
– Sem querer querendo o desenvolvedor deixou tudo
aberto.
• Poor Authorization and Authentication
– Esquema de autenticação ruim, aí tá tudo autorizado.

• Broken Cryptography
– Pra quê AES e 3DES se eu posso criar meu algoritmo?
• Client Side Injection
– Execução de código malicioso no mobile via apps.
• Security Decisions via Untrusted Inputs
– Quando cookies, variáveis de ambiente e campos ocultos
são manipulados
• Improper Session Handling
– Controle de sessão adequada (criar, manter e destruir
tokens)
• Lack of Binary Protection
– Não proteger o binário traz riscos ao negócio

• iMAS – recursos para ajudar os desenvolvedores
a produzirem software de forma segura
• GoatDroid – Ambiente de treinamento para afiar
os estudos no OWASP Top 10: FourGoats (rede
social), HerdFinancial (banco).
• Damn Vulnerable iOS – similar ao GoatDroid
• MobiSec – Distribuição live com ferramentas de
testes em aplicações mobile
• Androick – ambiente para testes automáticos.
Fonte: https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#tab=Mobile_Tools

• Análise dinâmica
– Debugar o aplicativo em uso
– Analisar tráfego de rede
– Analisar os serviços remotos (http/soap, etc)
• Análise estática
– Obter o aplicativo (extrair do device ou receber
dos desenvolvedores)
– Revisão de código
– Engenharia reversa

Identificado pelo pesquisador Igor Rincon
https://m4dwolf.wordpress.com/
Responsible Disclosure
Noticiado em:
http://g1.globo.com/tecnologia/blog/seguranca-digital/post/falha-em-site-de-delivery-ifood-permitia-
alterar-precos-de-pedidos.html

Por Igor Rincon:
Durante análise, notou-se que a maioria da
comunicação do aplicativo iFood é baseado em
formato JSON.
Fonte: https://m4dwolf.wordpress.com/

• Selecionado
alguns objetos no
menu e
adicionados ao
carrinho

• Pode-se observar acima o preço de cada
produto e também o preço do produto final
R$ 267,20.
A falha está na possibilidade de modificação
destes preços dentro do envio (POST)
quando clicamos para verificar nosso Carro
de Compra, segue exemplo:

(Requisição para chamar o carro de compras em ASCII – Formato JSON)

• Alterando os parâmetros
através da ferramenta BURP
SUITE, temos esse retorno:
• A vulnerabilidade pode ser
explorada de forma até a
finalização do pedido.
• O pesquisador solicitou
cancelamento do pedido e
alertou a empresa sobre a
vulnerabilidade, que foi
corrigida no dia seguinte.

Código malicioso em aplicação instalada permitindo
acesso remoto e controle total do celular

29
• Qualquer celular Android
• Metasploit
• Web Server (Apache, IIS, Nginx)

30
1 – Atacante disponibiliza aplicativo malicioso
no webserver
(Novo/Atualização)

31
• Instalar aplicativos sem buscar informações sobre eles
• Falha de verificações de segurança no Marketplace
• Root/Jailbreak, uma vez com acesso, tudo é possível
• Os mesmos cuidados de sempre
• Phishing/smishing
• Anti-vírus
• Etc

• O MDM vem ganhando maior relevância pela adoção
crescente do BYOD (Bring Your Own Device)
• O aumento dos mais variados tipos de dispositivos
mobile como smartphones, notebooks, tablets e etc
tem dificultado o processo de definição de políticas e o
gerenciamento seguro destes dispositivos.
• O gerenciamento dos dispositivos móveis nada mais é
do que uma política que ajuda a tratar estes
dispositivos de forma cuidadosa, e mantendo-os
seguros.
• Não confunda MDM como política e suas soluções.

• Bloquear remotamente o dispositivo quando
perdido
• Apagar todas as informações remotamente
• Detectar se o dispositivo foi rooted ou jailbraked
• Forçar políticas e rastrear inventário
• Realizar monitoramento em tempo real e prover
relatórios
De forma mais completa, podemos obter um ciclo
de vida de gerenciamento.

Production
Decommission
Provision
Manage
• Recebe políticas
• Recebe configurações
• OTA delivery
• Deployment de apps
Secure
• Estabelece politicas
• Política de senhas
• Instala e criptografa dados
• AV, firewall e outros controles
Secure
• Desabilita dispositivo, redes e acesso
a aplicativos
• Bloqueio remoto
• Bloqueio por violação
Manage
• Reprovision/reimage
• Redeploy softwares
• Restore data
Manage
• Tracking
• Update/reparo
• Mantém/modifica confs
• Distribui/update arquivos
• License tracking
• Schedule/automate actions
• Controle remoto
Secure
• Backup
• Patch update
• Policy enforcement
• Monitoramento de
violações/ameaças
• Complicance activity logging

• BYOD é a política que permite um
empregado utilizar seus
equipamentos móveis pessoais no
local de trabalho para acessar os
recursos da companhia através de
seus privilégios.
• O empregado fica felizão por
utilizar um equipamento onde se
sente confortável e que melhor
atende seu trabalho.

• Aumenta a produtividade
• Satisfação do empregado
• Flexibilidade no trabalho
• Redução de custos
Work anytime, anywhere!

• Compartilhamento de dados confidenciais em rede
insegura
• Exposição indevida do dispositivo
• Misturar dados pessoais com corporativos
• Falta de conscientização
• Problemas de infraestrutura
• Vazamento de informação
• Prover suporte para inúmeros tipos de dispositivos
• Perda ou roubo
• Possibilidade “bypassar” políticas
• Funcionários descontentes

Defina seus requisitos
Selecione os
dispositivos suportados
e construa um portfólio
tecnológico
Desenvolva políticas de
uso aceitável
Segurança Suporte

• A popularidade dos smartphones modernos trouxe integração
com os mais variados tipos de tecnologias online.
– Mas cuidado a falta de cuidado técnico, economia e problemas de
desenvolvimento tem trazido insegura
• As vulnerabilidades encontradas nos apps são as mesmas da
computação tradicional, ou seja, os desenvolvedores de fato
ainda não entendem boa parte dos problemas e não
consideram os mais variados cenários.
• As vulnerabilidades ainda não são bem compreendidas,
fazendo com que a maioria dos apps sejam vulneráveis a algum
tipo de ataque.
• A evolução de novas tecnologias e suas integrações trazem
novas vulnerabilidades, que se exploradas, trazem enormes
riscos à pessoas e corporações.
41

Segurança em aplicativos móveis de comunicação - Cnasi 2016

Mais conteúdo relacionado

Mais procurados (20)

Destaque (20)

Semelhante a Segurança em aplicativos móveis de comunicação - Cnasi 2016 (20)

Último (20)

Segurança em aplicativos móveis de comunicação - Cnasi 2016