Mobile phone security

1. Bezpečnosť mobilných aplikácií (iPhone) Juraj Bednár [email_address]

2. Čo je počítač?

4. Malware

5. ...

11. Obrázky, kód

13. Ukradnutie zariadenia

14. Autentifikácia (namiesto SMS autentifikácie)

16. Možnosť “jailbreaknúť” a nainštalovať iný SW

18. Je to zložité, častokrát sa stratia dáta

19. Malá pridaná hodnota “point releasov” pre väčšinu užívateľov

21. Veľa inštalácií rovnakého systému – známe prostredie

23. Viac interakcie s užívateľom, ale tiež veľmi nízka viditeľnosť “do systému”

25. Uložená v SQLite3 databáze

27. Backup je možné obnoviť len na rovnakom kuse zariadenia (pri reklamácii výmenou zariadenia to nie je možné)

28. Ak má útočník prístup do userlandu telefónu, vie si samozrejme vyžiadať dešifrovanie akéhokoľvek ciphertextu

30. Backupy sú od tohto momentu šifrované (telefónom) na tento symetrický kľúč

32. Radšej nech sa užívateľ reautentifikuje alebo musí začať “from scratch”, ako riskovať únik citlivých informácií.

34. Server by mal pri akomkoľvek podozrení odmietnuť ďalšie požiadavky a žiadať reautentifikáciu alebo novú výmenu kľúčov

36. Ak je aplikácia pre viacero mobilných platforiem, efektivita sa prudko znižuje

40. Užívateľ nevidí systémové informácie, nemá shell

43. Štandardný UNIX prístup

44. Telefón obsahuje väčšinou veľmi citlivé informácie

47. Možnosť online debugovania cez gdb (krokovanie, čítanie pamäte)

48. Možnosť odchytávania sieťovej prevádzky (tcpdump)

49. Možnosť odchytenia kľúčov (client-side certifikát pre SSL nepomôže, overovanie server-side SSL možné podvrhnúť a malware vie spraviť man in the middle)

51. Developer účet vie tlačiť nové verzie

52. Užívatelia málokedy upgradujú OS, aplikácie upgradujú častejšie

54. Martin Mocko (assembler guru)