OWASP Mobile Top 10 Risks & Real Life Threats

Transcript

1 Mobile Top 10 Risks & Real Life Threats Gianrico Ingrosso Security Minded Security Milano, 12 Marzo 2013 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The Foundation

2 AGENDA Introduzione (ovvero, come stiamo messi?) Top 10 Mobile Risks Considerazioni finali

3 Introduzione

4 Introduzione Come viene usato un dispositivo mobile: Per lavoro (BYOD). Per navigare in rete. Per leggere e documenti. Per accedere al proprio conto bancario. Per aggiornare lo status sui social network. e perché no, anche per chiamare e mandare SMS

5 Introduzione Fonte:

6 Introduzione Fonte:

7 Le minacce nel mondo reale 2004 Cabir, Os: Symbian, PoC, propagazione: bluetooth Pbstealer e Commwarrior, OS: Symbian, furto di informazioni, propagazione: bluetooth/mms Redbrowser, OS: J2ME, sms fraud 2010 ANDROIDOS_DROIDSMS.A, OS: Android, sms fraud ikee A e B, OS: ios (jailbroken), bank fraud (ING Paesi Bassi), propagazione: network Google Android market backdoored, più di 50 app legittime compromesse da DroidDream, furto di informazioni, creazione di una botnet, installazione di software aggiuntivo ZitMo (Zeus in the mobile), SpitMo (SpyEye-in-the-Mobile), Faketoken, multipiattaforma, Man-in-the-Mobile, furto del mtan, frodi bancarie.

8 AGENDA Introduzione (ovvero, come stiamo messi?) Top 10 Mobile Risks Considerazioni finali

9 Top 10 Mobile Risks Fa parte del progetto Mobile Security Project (Jack Mannino, Michael Zusman, Zach Lanier) Intende diffondere la consapevolezza e aiutare a indicare la priorità degli interventi Presentato in maniera indipendente dalla piattaforma di sviluppo Si focalizza sulle aree di rischio invece che sulle vulnerabilità Usa l Risk Rating Methodology per pesare le problematiche La versione corrente è del Settembre 2011 ma è in continua evoluzione

10 Top 10 Mobile Risks M1 Insecure Data Storage M6 Improper Session Handling M2 Weak Server Side Controls M3 Insufficient Transport Layer Protection M7 Security Decisions Via Untrusted Inputs M8 Side Channel Data Leakage M4 Client Side Injection M9 Broken Cryptography M5 Poor Authorization and Authentication M10 Sensitive Information Disclosure

11 Top 10 Mobile Risks M1 - Insecure Data Storage Dati sensibili memorizzati in maniera non sicura (Es: Remember Me) Si applica ai dati memorizzati localmente e sincronizzati tramite il cloud Generalmente si verifica quando si ha a che fare con: Dati sensibili non cifrati salvati in cache, Plist, Log, XML file, ecc. Mancanza di utilizzo delle best-practices della piattaforma Permessi settati in maniera errata

12 Top 10 Mobile Risks M1: Informazioni sensibili salvate in modo non sicuro ios -(void) savetofile { NSMutableDictionary *appinfodict = [NSMutableDictionary dictionarywithcontentsoffile:[self getpathoffile]]; // do some stuff... DLog(@"deviceId, %@ ", [appinfodict valueforkey:@"deviceid"]); [appinfodict writetofile:[self getpathoffile] atomically:yes]; }

13 Top 10 Mobile Risks M1 - Insecure Data Storage Come prevenire: Salvare localmente solo la quantità minima di dati assolutamente necessari Non usare mai aree pubbliche (come le SD card) per i dati sensibili Sfruttare la API per la cifratura dei file messe a disposizione dalla piattaforma (Es: Keychain e CommonCrypto per ios e setstorageencryption per Android con PIN robusto) Non assegnare ai file contenenti informazioni sensibili i premessi di lettura o scrittura da parte delle altre applicazioni (MODE_WORLD_WRITEABLE e MODE_WORLD_READABLE per Android)

14 Top 10 Mobile Risks M2 Weak Server Side Controls Problematiche relative ai servizi di backend Sono ben note e studiate Non sono specifiche dell ambiente mobile ma bisogna tenerne conto Le 10 vulnerabilità più critiche sono elencate nel progetto Top 10 (

15 Top 10 Mobile Risks M2 Weak Server Side Controls Come prevenire: Tenere in conto i rischi addizionali introdotti dalle applicazioni mobile nelle architetture esistenti Sfruttare la conoscenza già presente nel campo Top 10, ESAPI, Cheat Sheet, Testing Guide, Development Guide

16 Top 10 Mobile Risks M3 Insufficient Transport Layer Protection Si verifica quando non vengono usati canali cifrati per la trasmissione dei dati (Es: Google ClientLogin Authentication Protocol). Possono essere usati algoritmi crittografici deboli. Possono essere usati protocolli deboli. Vengono usati algoritmi e protocolli forti ma vengono ignorati i warning.

17 Top 10 Mobile Risks M3: Fidarsi di tutti i certificati ios if ([[NSURLRequest class] respondstoselector:@selector(setallowsanyhttpscertificate: forhost:)]) { [NSURLRequest setallowsanyhttpscertificate:yes forhost:request.url.host]; } Android SSLSocketFactory sf = new MySSLSocketFactory(trustStore); sf.sethostnameverifier(sslsocketfactory.allow_all_hostname _VERIFIER);

18 Top 10 Mobile Risks M3: Dati sensibili su http - (void) log:(nsdictionary *) crashdata { NSDictionary *logserviceinputdata = [self createlogserviceinputdata:crashdata]; NSDictionary *responsedict = [self.serviceutil objectwithpostjsondataurl:self.crashlogurl inputdata:logserviceinputdata]; [serviceutil release]; // do stuff with response...

19 Top 10 Mobile Risks M3 Insufficient Transport Layer Protection Come prevenire: Dati sensibili devono essere spediti in forma criptata Evitare di usare sessioni HTTP e HTTPS contemporaneamente perché mette a rischio gli ID di sessione degli utenti Usare connessioni sicure sia con la rete dell operatore che via WiFi Implementare correttamente il canale sicuro (certificati validi e firmati da CA valide, chiavi di cifratura robuste) Mai ignorare i messaggi di warning (Es: quelli per certificati non validi)

20 Top 10 Mobile Risks M4 Client Side Injection Problematiche tipiche delle app che usano librerie dei browser Vulnerabilità classiche: XSS, HTML, SQL Injection, Local File Inclusion Vulnerabilità specifiche: abuso degli SMS, pagamenti tramite l app

21 Top 10 Mobile Risks M4: Input utente in mail all interno di WebView senza validazione NSString ios *mailwithformat; // do stuff... mailwithformat = [NSString stringwithformat:@ <pre style=\"white-space:pre-wrap;height:auto;font-size:0.9em;fontweight:normal;margin-top:0;font-family:arial;\">%@</pre>, self.viewmailoutput.messagebody]; // do other stuff, but no validation NSString *htmlmessage = [[htmldefaultstarttag stringbyappendingstring:mailwithformat] stringbyappendingstring:htmlcustomendtag]; // other stuff but still no validation [self.mailbodywebview loadhtmlstring: htmlmessage baseurl:nil];

22 Top 10 Mobile Risks M4 Client Side Injection Come prevenire: Sanitizzare o fare l escaping dei dati non fidati prima di presentarli a video o di eseguirli. Se possibile disabilitare il supporto per Javascript e i plugin. Usare i prepared statement (o query parametrizzate) per interagire col database. Mai concatenare! Ridurre al minimo indispensabile le funzionalità web dell applicazione. Assicurarsi che le finestre web non abbiano accesso al file system consentendo di portare attacchi di local file inclusion.

23 Top 10 Mobile Risks M5 - Poor Authorization and Authentication Problematiche che dipendono sia dal device che dall architettura Fidarsi solo di parametri immutabili del dispositivo (IMEI, IMSI, UUID) può essere pericoloso se non si vogliono mostrare dati sensibili ad altri. Aggiungere altre informazioni contestuali è utile ma non a prova d errore. Gli identificatori hardware non vengono cancellati con un reset del dispositivo oppure cancellando tutti i dati.

24 Top 10 Mobile Risks M5: Abuso del PIN caching ios - (BOOL) ispinvalid { double timeinterval = [lastupdatetime timeintervalsincenow] * -1; DLog(@"Last pin update was : %f seconds ago.", timeinterval); if(pin!= nil && timeinterval < PIN_CACHE_TIMEOUT_IN_SECONDS) { return YES; } return NO; } Dove PIN_CACHE_TIMEOUT_IN_SECONDS vale 8 minuti (480 sec)

25 Top 10 Mobile Risks M5 - Poor Authorization and Authentication Come prevenire: Utilizzare anche le informazioni contestuali per implementare un autenticazione multi fattore. Non usare mai il device ID o l ID dell utente come unica forma di autenticazione! I parametri passati out-of-band in questo caso non funzionano perché siamo sullo stesso dispositivo.

26 Top 10 Mobile Risks M6 - Improper Session Handling Le sessioni per la app mobile sono molto più lunghe per motivi di usabilità e convenienza (Es: Google ClientLogin Authentication Protocol) Le sessioni vengono mantenute tramite: cookie HTTP, OAuth token, servizi di SSO Usare un identificativo del device come session token non è una buona idea!

27 Top 10 Mobile Risks M6 - Improper Session Handling Come prevenire: Far ri-autenticare di tanto in tanto l utente. Assicurarsi che i token possano essere facilmente revocati in caso di perdita/furto del dispositivo! Generare i token di sessione in maniera randomica in modo che non siano prevedibili.

28 Top 10 Mobile Risks M7 - Security Decisions Via Untrusted Inputs Può essere sfruttata per bypassare i controlli È una problematica che dipende anche dalla piattaforma (ios URL Schemes, Android Intents) L attacco può venire da diversi vettori: Applicazioni malevole Client side injection

29 Top 10 Mobile Risks M7 - Security Decisions Via Untrusted Inputs ES: Skype ios URL Scheme Handling (2010) HTML page <iframe src= skype:// ?call ></iframe> Phone call initiated ES: Android dirty USSD hack (Android < 4.1.x, 2012) HTML page <frame src="tel:*%2306%23" /> USSD code action

30 Top 10 Mobile Risks M7 - Security Decisions Via Untrusted Inputs Come prevenire: Controllare che ci sia il permesso da parte dell utente. Esplicitare la richiesta di permesso all utente prima di autorizzare. Qualora non sia possibile farlo, assicurarsi di aggiungere dei passi addizionali prima di lanciare azioni sensibili.

31 Top 10 Mobile Risks M8 - Side Channel Data Leakage Problematica causata da errori di programmazione e dal non disabilitare delle features della piattaforma I dati sensibili finiscono in posti indesiderati, come ad esempio: Screenshot (Es: Backgrounding di ios) Directory temporanee Cache web Log

32 Top 10 Mobile Risks M8: Keyboard caching ios Il keyboard caching è usato per l autocomplete delle form ed è disabilitato di default solo sui campi password. Questa funzionalità può essere abusata per ricavare dati precedenti immessi nel campo. Settare per tutti gli UITextField che contengono dati sensibili la seguente proprietà: autocorrectiontype = UITextAutocorrectionNo

33 Top 10 Mobile Risks M8 - Side Channel Data Leakage Come prevenire: Non salvare mai nei log dati sensibili come le credenziali. Rimuovere i dati sensibili prima di fare gli screenshot. Disabilitare eventuali keystroke logging. Non salvare in cache i contenuti web. Rivedere tutte le librerie di terze parti eventualmente usate e i dati che queste usano. Testare l applicazione su quante più piattaforme possibile.

34 Top 10 Mobile Risks M9 - Broken Cryptography Può essere causata principalmente da utilizzo errato di librerie sicure oppure da implementazione di algoritmi di cifratura custom. L encoding, l offuscamento e la serializzazione dei dati NON equivalgono alla cifratura

35 Top 10 Mobile Risks M9: MD5 hashing Uso di MD5 per verificare l autenticità delle richieste: + (NSString *) returnmd5hash:(nsmutablearray*)concatarray { NSString *concatstring //do stuff... const char *concat_str = [concatstring UTF8String]; unsigned char result[cc_md5_digest_length]; CC_MD5(concat_str, strlen(concat_str), result); //do stuff... }

36 Top 10 Mobile Risks M9 - Broken Cryptography Come prevenire: Non conservare mai la chiave di cifratura insieme ai dati criptati. Sfruttare le API per la cifratura messe a disposizione dalla piattaforma. Non creare nuovi algoritmi di cifratura, sfruttare quelli ampiamente testati. Sfruttare tutti i vantaggi offerti dalla piattaforma che si sta usando.

37 Top 10 Mobile Risks M10 - Sensitive Information Disclosure Problematica diversa dalla M1 poiché parliamo di informazioni embedded/hardcoded. Si può fare il reverse delle app in maniera abbastanza semplice. L offuscamento del codice aiuta ma non protegge del tutto. Spesso si trovano informazioni sensibili come chiavi delle API, password (account backdoor) informazioni sensibili sulla logica di business.

38 Top 10 Mobile Risks M10 - Sensitive Information Disclosure Come prevenire: Le chiavi private delle API non devono essere conservate sui client. Informazioni private sulla logica di business devono essere conservate lato server. Mai salvare hardcoded password all interno del codice.

39 AGENDA Introduzione (ovvero, come stiamo messi?) Top 10 Mobile Risks Considerazioni finali

40 Tutto qui? Questa top 10 copre tutte le vulnerabilità che troviamo durante le attività? Mancanza di contromisure per verificare se il dispositivo ha il Jailbreak/rooting Verificare la presenza di app note (Cydia, WinterBoard, MxTube) Provare ad aprire una shell di comando Memory leaks

41 Statistiche Statistiche findings raggruppati secondo la Top 10 Mobile Fonte: report secure code review mobile Minded Security N.B. M2 volutamente tralasciata per motivi di scala.

42 Altre fonti Mobile Security Project ( Catching AuthTokens in the Wild ( Android dirty USSD hack ( Skype insecure uri scheme ios ( History of mobile malware (