Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Lucrare de licenta

Lucrare de licenta
by

Octav Chelaru

on 4 July 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Lucrare de licenta

Analiza riscurilor, securitatii si a protectiei datelor private in aplicatii mobile
Date de intrare
Fisierul binar corespunzator aplicatiei analizate:
pentru iOS: fisierul .app compilat in format Mach-O din care se vor extrage informatii despre segmente, sectiuni, clase, metode, simboluri specifice limbajului de programare Objective-C (categorii, protocoale, etc.)
pentru Android: fisierul classes.dex in care sunt compilate toate clasele aplicatiei din care se vor extrage informatii despre interfete, clase, metode, membri
Date de intrare auxiliare
Fisiere auxiliare celor binare.
pentru iOS: fisierul de informatii info.plist si fisierul referitor la securitateŞentitlements.plist
pentru Android: fisierul Manifest in care sunt specificate activitatile, serviciile, receiver-ii si permisiunile
Modalitatea de lucru
Analiza statica presupune maparea structurilor de date pe formatele precizate mai sus (Mach-O si DEX) conform specificatiilor oficiale.

Analiza dinamica se desfasoara in fuctie de plaforma:
folosind Robotium pentru Android
folosind Cycript si interpretorul Bash pentru iOS
Procesul de analiza
Analiza se desfasoara in doua etape:
o etapa de extragere (datele rezultate static sau dinamic se transcriu intr-un format parsabil pentru a folosi scrierii de plug-in-uri de detectie)
o etapa de detectie (pe baza unor de detectori de tip plug-in, datele parsabile rezultate din pasul anterior se analizeaza si se detecteaza comportamente cu probleme de securitate)
Rezultate
Apple AppStore
Google Play
Apple AppStore versus Google Play
Coordonator stiintific: Asist. dr. Dragos GAVRILUT
Absolvent: Octavian-Dumitru CHELARU
aplicatii pentru sistemul de operare iOS
lansat pe 10 iulie 2008
aproape 900.000 de aplicatii (56.2% gratuite)
taxa anuala de 99$
timp necesar pentru publicarea unei applicatii: 4 zile
aplicatii pentru sistemul de operare Android
lansat pe 23 octombrie 2008
aproape 800.000 de aplicatii (80.64% gratuite)
taxa unica de 25$
timp necesar pentru publicarea unei aplicatii: 3 ore
inainte de aprobarea in market se face o analiza automata (folosind infrastructura Google)
fiecare aplicatie e rulata 5 minute
se foloseste Bouncer, despre care Google a spus ca a redus numarul aplicatiilor malware cu 40%
nu se cunosc informatii despre analiza pentru aprobarea in market
timpul de raspuns si gradul lui de detaliu presupun, probabil, analiza umana
Asigurarea securitatii aplicatiilor
Android
iOS
pe ambele plaforme, modelul de securitate al aplicatiilor se bazeaza pe permisiuni
permisiunile ofera, de exemplu, abilitati de: conexiune la internet, trimitere SMS, acces la GPS, etc.
Ce poate sa faca de fapt?
Daca citim permisiunile...
Si mai poate...
Cand defapt tot ce avea nevoie erau...
Brightest Flashlight Free
892.889 de review-uri
nota 4.8 din 5
instalari: 10.000.000 - 50.000.000
aplicatie Android
functionalitati de lanterna
are acces la locatia aproximativa (pe baza retelei 3G)
are acces la locatia exacta (pe baza serviciului GPS)
are acces la reteaua 3G (poate apela numere de telefon premium)
poate citi starea si identitatea telefonului
sa modifice sau sa stearga continutul stocat pe USB
sa adauge sau sa stearga scurtaturi (de) pe desktop
sa faca poze si sa filmeze
sa vada conexiunile la retea si la Wi-Fi
sa testeze accesul la partitiile protejate
accesul la lanterna
impiedicarea dispozitivului de a intra in modul sleep
GPS
un trecut curat
Ce are un smartphone si nu are un PC?
SMS şi telefonie mobilă
integrarea in sistem a diverselor conturi (e-mail, Apple ID, retele sociale)
Un sistem automat de analiza
a aplicatiilor pentru a descoperi
bresele de securitate.
Sistemul de analiza
Dupa cei doi pasi, se transcriu detectiile plug-in-urilor intr-un mod inteligibil de catre utilizatorii obisnuiti si se faciliteaza datele aplicatiilor client.
Q
A
&
Universitatea Alexandru Ioan Cuza, Iasi
Facultatea de Informatica
iulie 2013
folosit cu intentii rele, poate deveni un dispozitiv
de urmarire a utilizatorului
se pot fura bani din creditul utilizatorului
pentru apelarea si trimiterea de mesaje la
numere premium
- de obicei utilizatorii prefera accesul instant la account-urile utilizate si stocarea parolelor
- avand in vedere ca utilizatorii folosesc o singura parola pentru toate serviciile, daca o terta parte afla o parola, se pot afla informatii private
de obicei conceptul de malware este asociat cu PC-urile
care ruleaza Microsoft Windows, dar, prin multitudinea de functionalitati prezente pe dispozitivele mobile, malware-ul poate gasi un mediu propice si aici
Ambele vor atinge 1.000.000 de aplicatii in 2013.
NEXT
Deducem ca utilizatorii instaleaza aplicatiile de mobile la fel ca pe cele de PC.
ACCEPT
NEXT
FINISH
Se cumpara aproximativ 5.000.000 de telefoane mobile zilnic.
Exista aproximativ 1 miliard de utilizatori de aplicatii mobile.
SOLUTIA
Un sistem automat de analiza pentru a descoperi bresele de securitate.
Mai intai, se creaza o colectie de aplicatii pentru analiza.
Ulterior, se analizeaza dinamic aplicatiile, simulandu-se actiunile umane intr-un mediu controlat; si static, extragand informatii din pachete.
Se verifica existenta SDK-urilor de adware care, pe langa venitul adus aplicatiei, includ si comportament intruziv.
Informatiile extrase se transpun intr-un mod inteligibil de catre utilizator si sunt facilitate printr-un serviciu.
Dar cate aplicatii sunt, defapt,
ăĂăpericuloase?
9.80% trimit locatia utilizatorului
5.73% trimit adresa de e-mail
8.82% trimit
numarul de telefon
9.17% creaza iconite de tip spam pe desktop
8.48% genereaza reclame de tip spam
in bara de notificari
1 din 10 aplicatii are un comportament periculos
Cati utilizatori au mai mult de 10 aplicatii instalate?

pe iOS - 0.56% dintre cele 207034 de aplicatii analizate trimit datele de autentificare plaintext via HTTP

pe Android - 0.51% dintre cele 371363 de aplicatii analizate trimit datele de autentificare plaintext via HTTP

Studii de caz
Android
iOS
TalkBox Voice Messenger

Runtastic PRO GPS Running, Walking & Fitness Tracker

POST /webapps/services/auth/login?version=1 HTTP/1.1
Host: lance.runtastic.com:80
User-Agent: runtastic/2.8.1 CFNetwork/548.0.4 Darwin/11.0.0
Content-Length: 50
Accept: */*
Content-Type: application/json
X-App-Key: at.runtastic.gpssportapp
X-App-Version: 2.8.1
X-Device-Vendor: Apple
X-Device-Name: iPhone3,1
Accept-Language: en-us
Accept-Encoding: gzip, deflate
Connection: keep-alive
{"password":"
<password>
","email":"
<email>
"}

POST /talkbox/api/user?action=register HTTP/1.1
Content-Length: 299
Content-Type: application/x-www-form-urlencoded
Host: api1.mytalkbox.com
Connection: Keep-Alive
User-Agent: Apache-HttpClient/UNAVAILABLE CountryCode=UnitedStates&firstname=<name>&avatar=&lang=en_US&password=
<password>
&country=UnitedStates&version=1.64&system=4.1.1&udId=e5857e93230893cf&username=
<username>
&<email>&avatarUrl=&device=unknown+androVM+for+VirtualBox
Nota: 4.1
Review-uri: 16.992
Instalari: 1.000.000 - 5.000.000
Nota: 5
Review-uri: 8588
Full transcript