Enviar búsqueda
Cargar
Android smartphones und sicherheit
•
1 recomendación
•
918 vistas
Digicomp Academy AG
Seguir
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 31
Descargar ahora
Descargar para leer sin conexión
Recomendados
Owasp mobile top 10
Owasp mobile top 10
Digicomp Academy AG
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
Digicomp Academy AG
Incident response
Incident response
Digicomp Academy AG
Android ppt
Android ppt
Govind Raj
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon Berlin
ESET - Drei Säulen der mobilen Sicherheit
ESET - Drei Säulen der mobilen Sicherheit
ESET | Enjoy Safer Technology (Deutsch)
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
Sven Wohlgemuth
Digitaler Fußabdruck oder was Google über dich weiß
Digitaler Fußabdruck oder was Google über dich weiß
Let´s get it straight
Recomendados
Owasp mobile top 10
Owasp mobile top 10
Digicomp Academy AG
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
Digicomp Academy AG
Incident response
Incident response
Digicomp Academy AG
Android ppt
Android ppt
Govind Raj
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon Berlin
ESET - Drei Säulen der mobilen Sicherheit
ESET - Drei Säulen der mobilen Sicherheit
ESET | Enjoy Safer Technology (Deutsch)
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
Sven Wohlgemuth
Digitaler Fußabdruck oder was Google über dich weiß
Digitaler Fußabdruck oder was Google über dich weiß
Let´s get it straight
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Digicomp Academy AG
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Digicomp Academy AG
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
Digicomp Academy AG
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
go4mobile ag
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
OPITZ CONSULTING Deutschland
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
Sven Bernhardt
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
ihrepartner.ch gmbh
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
go4mobile ag
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Fraunhofer Institute for Secure Information Technology
5 lukas ruf hacking in the cloud
5 lukas ruf hacking in the cloud
Digicomp Academy AG
Android sicher
Android sicher
KH F
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
Symposia 360°
Br fra-v1.2
Br fra-v1.2
Bernd Rodler
Das Android Open Source Project
Das Android Open Source Project
inovex GmbH
NETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own device
NETFOX AG
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Pierluigi Pugliese
Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012
IKS Gesellschaft für Informations- und Kommunikationssysteme mbH
Bitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdf
Bitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdf
happychickensfarm service
Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!
AFF Group
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
OPITZ CONSULTING Deutschland
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
Más contenido relacionado
Similar a Android smartphones und sicherheit
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Digicomp Academy AG
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Digicomp Academy AG
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
Digicomp Academy AG
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
go4mobile ag
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
OPITZ CONSULTING Deutschland
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
Sven Bernhardt
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
ihrepartner.ch gmbh
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
go4mobile ag
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Fraunhofer Institute for Secure Information Technology
5 lukas ruf hacking in the cloud
5 lukas ruf hacking in the cloud
Digicomp Academy AG
Android sicher
Android sicher
KH F
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
Symposia 360°
Br fra-v1.2
Br fra-v1.2
Bernd Rodler
Das Android Open Source Project
Das Android Open Source Project
inovex GmbH
NETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own device
NETFOX AG
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Pierluigi Pugliese
Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012
IKS Gesellschaft für Informations- und Kommunikationssysteme mbH
Bitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdf
Bitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdf
happychickensfarm service
Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!
AFF Group
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
OPITZ CONSULTING Deutschland
Similar a Android smartphones und sicherheit
(20)
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
5 lukas ruf hacking in the cloud
5 lukas ruf hacking in the cloud
Android sicher
Android sicher
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
Br fra-v1.2
Br fra-v1.2
Das Android Open Source Project
Das Android Open Source Project
NETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own device
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012
Bitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdf
Bitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdf
Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
Más de Digicomp Academy AG
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Digicomp Academy AG
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Digicomp Academy AG
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Digicomp Academy AG
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Digicomp Academy AG
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Digicomp Academy AG
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Digicomp Academy AG
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Digicomp Academy AG
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Digicomp Academy AG
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Digicomp Academy AG
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Digicomp Academy AG
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
Minenfeld IPv6
Minenfeld IPv6
Digicomp Academy AG
Was ist design thinking
Was ist design thinking
Digicomp Academy AG
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Digicomp Academy AG
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Digicomp Academy AG
General data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
Más de Digicomp Academy AG
(20)
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Minenfeld IPv6
Minenfeld IPv6
Was ist design thinking
Was ist design thinking
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
General data protection regulation-slides
General data protection regulation-slides
Android smartphones und sicherheit
1.
Hacking Day 2012
– Future Security Android Smartphones und Sicherheit Tobias Ellenberger - COO & Co-Partner - OneConsult GmbH © 2012 OneConsult GmbH 14. Juni 2012 www.oneconsult.com
2.
Agenda
Agenda → Vorstellung → Android OS → Sicherheitsanalyse → Security Suites für Android → Fazit © 2012 OneConsult GmbH 2 www.oneconsult.com
3.
Vorstellung
Über mich → Tobias Ellenberger → Ausbildung als Mediamatiker → Stetige Weiterbildung in den Bereichen Security, Netzwerk, Microsoft → Seit 2002 in den Bereichen Consulting und Engineering tätig → COO & Co-Partner der OneConsult GmbH © 2012 OneConsult GmbH 3 www.oneconsult.com
4.
Vorstellung
OneConsult GmbH → IT Security Consulting & strategische Beratung → Kein Verkauf von Hard- und Software → Kunden ◦ Hunderte Unternehmen und Konzerne in Europa und Übersee ◦ tätig in allen Branchen → Kompetenz ◦ mehr als 500 technische Security Audits (davon 450 OSSTMM konform) ◦ Dutzende konzeptionelle Projekte → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Deutschland: Büro in München ◦ Österreich: Büro in Wien © 2012 OneConsult GmbH 4 www.oneconsult.com
5.
Vorstellung
Unsere Dienstleistungen → Security Audits → Incident Response ◦ Security Scan ◦ Emergency Response ◦ Penetration Test ◦ Computer Forensics ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering → Training & Coaching ◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning → Consulting ◦ Secure Software Development ◦ Strategy & Organisation ◦ Coaching ◦ Policies & Guidelines ◦ Processes & Documentation → Security as a Service ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management © 2012 OneConsult GmbH 5 www.oneconsult.com
6.
Agenda
Agenda → Vorstellung →Android OS → Sicherheitsanalyse → Security Suites für Android → Fazit © 2012 OneConsult GmbH 6 www.oneconsult.com
7.
Android OS
Was ist das Android OS? → Betriebssystem für mobile Endgeräte → Entwickelt von Google und Open Handset Alliance → Basierend auf Linux Kernel → Anwendungen werden mittels Java entwickelt → Anwendungen laufen in einer virtuellen Instanz → Bestehende Funktionen durch Applikationen erweitern → Grundlegende Sicherheitsfunktionen ◦ ...dazu später © 2012 OneConsult GmbH 7 www.oneconsult.com
8.
Android OS
Android OS: Architektur Architekturdarstellung von Google © 2012 OneConsult GmbH 8 www.oneconsult.com
9.
Android OS
Android OS: Technischer Stand → Was wurde aus der „PC-OS-Vergangenheit“ gelernt? ◦ Sandboxing ◦ Least Privileges (Berechtigungskonzepte) ◦ Unterschiedliche Ansätze zwischen Android OS, iOS und Windows Phone › Open Source vs. Closed Source › Google Play, App Store etc. › Updatekonzepte Fazit: Die Security-Grundlagen und Erfahrungen sind in die Entwicklung mit eingeflossen… … unter Berücksichtigung der eigenen Interessen © 2012 OneConsult GmbH 9 www.oneconsult.com
10.
Agenda
Agenda → Vorstellung → Android OS →Sicherheitsanalyse → Security Suites für Android → Fazit © 2012 OneConsult GmbH 10 www.oneconsult.com
11.
Sicherheitsanalyse
Sicherheitsanalyse: Sicherheitsfunktionen... → Kernel → Sandboxing → Rechteverwaltung → Bildschirmsperre → Google Play – ex Android Market (Gtalk Service) → Faktor Mensch © 2012 OneConsult GmbH 11 www.oneconsult.com
12.
Sicherheitsanalyse
Sicherheitsanalyse: Kernel → Linux Kernel ja / nein? → Gut gepflegte Software (Analyse von Coverty) → Daraus folgt: Linux ist eine gute Basis für das Entwickeln eines sicheren Produktes → Jon Oberheide: «Schweizer Käse» ◦ Linux bietet eine hervorragende Angriffsfläche ◦ Praxis: z.B. Rooting © 2012 OneConsult GmbH 12 www.oneconsult.com
13.
Sicherheitsanalyse
Sicherheitsanalyse: Sandboxing → Prinzip: Applikation hat keinen Zugriff auf eine andere Anwendung oder auf das System → Bekannt von Linux und Windows (UAC) → Aber: ◦ Dateisystem › Ab Android 2.3 Ext4 (vorher YAFFS) › Auf SD-Karten FAT ◦ Shared User ID’s → Kleines Beispiel… ◦ Fun-Foto App (Zugriff Bilder) ◦ Game (Zugriff Internet für High-Score) © 2012 OneConsult GmbH 13 www.oneconsult.com
14.
Sicherheitsanalyse
Sicherheitsanalyse: Rechteverwaltung → Erlaubt Kommunikation zwischen Anwendungen → Aufweichen des Sicherheitsmechanismus → Vier Schutzstufen ◦ «normal» ◦ «dangerous» ◦ «signature» ◦ «signatureOrSystem» → Schwächen der Rechteverwaltung ◦ Es gibt nur JA oder NEIN ◦ Sehr global gefasste Berechtigungen › android.permission.INTERNET › android.permission.WRITE_EXTERNAL_STORAGE © 2012 OneConsult GmbH 14 www.oneconsult.com
15.
Sicherheitsanalyse
Sicherheitsanalyse: Bildschirmsperre → Passwort sinnvoll für den Schutz des Smartphones → Folgende Möglichkeiten: © 2012 OneConsult GmbH 15 www.oneconsult.com
16.
Sicherheitsanalyse
Sicherheitsanalyse: Google Play → Applikationen erweitern die Funktionen des Smartphones → Benutzerbasierte Kontrolle des Inhalts → Bouncer (Malwarekontrolle – seit 2011) ◦ Summercon Juni 2012 → Jeder kann für $25 Applikationen veröffentlichen (auch anonym) → Apps müssen signiert werden; selbst signiertes Zertifikat für den Benutzer-Account → Seit Februar 2011: Installation von Apps via Browser möglich © 2012 OneConsult GmbH 16 www.oneconsult.com
17.
Sicherheitsanalyse
…und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Beispiel: 23.01.2012 (http://www.heise.de/security/meldung/Linux- Root-Rechte-durch-Speicherzugriff-1419608.html) ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) © 2012 OneConsult GmbH 17 www.oneconsult.com
18.
Sicherheitsanalyse
Android Hax (Funktion) Root Exploit http://jon.oberheide.org/rootstrap/index © 2012 OneConsult GmbH 18 www.oneconsult.com
19.
Sicherheitsanalyse
Android Hax (Verbreitung) → Über 200 Downloads in weniger als 24h → Reaktion: Remote Wipe © 2012 OneConsult GmbH 19 www.oneconsult.com
20.
Sicherheitsanalyse
…und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Aktuelles Beispiel: 23.01.2012 ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) → Sandboxing ◦ Cross Application Scripting ◦ Shared User-ID → Rechteverwaltung ◦ Eigene Berechtigungen… © 2012 OneConsult GmbH 20 www.oneconsult.com
21.
...und wie sie
ausgenutzt werden Rechteverwaltung (Beispiel) (1) Password-Safe (2) Google Play (3)Password-Gen - Kein Internet - Top Rating - Internet Zugriff - pw.exchange - X Downloads - pw.exchange © 2012 OneConsult GmbH 21 www.oneconsult.com
22.
Sicherheitsanalyse
…und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Beispiel: 23.01.2012 ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) → Sandboxing ◦ Cross Application Scripting → Rechteverwaltung ◦ Eigene Berechtigungen… ◦ «exported attribute» → Google Play (Gtalk Service) © 2012 OneConsult GmbH 22 www.oneconsult.com
23.
Sicherheitsanalyse
Google Play © 2012 OneConsult GmbH 23 www.oneconsult.com
24.
Sicherheitsanalyse
Google Play (Gtalk Service) → Apps werden nicht über die Google Play App installiert → Die App wird mittels C2DM-Server gepusht → Google hat mindestens folgende Funktionen zur Verfügung: ◦ INSTALL_ASSET (App installieren) ◦ REMOVE_ASSET (App entfernen) › Twilight Eclipse App › DroidDream-Trojaner → Was wenn jemand die Google Server «übernimmt» ?!? © 2012 OneConsult GmbH 24 www.oneconsult.com
25.
Sicherheitsanalyse
Sicherheitsanalyse: Faktor Mensch → «JA Klick» - Syndrom → «Ich will» - Syndrom → «KLDAZL» - Syndrom → «DGMNA» - Syndrom © 2012 OneConsult GmbH 25 www.oneconsult.com
26.
Agenda
Agenda → Über OneConsult GmbH & me → Android OS → Sicherheitsanalyse →Security Suites für Android → Fazit © 2012 OneConsult GmbH 26 www.oneconsult.com
27.
Security Suites
Security Suites → Hersteller ◦ Neue Hersteller z.B. Lookout spezialisiert auf Mobile Security ◦ Die meisten namhaften Hersteller von AV-Software für PC’s → Nutzen ◦ Schutz vor Malware, Phishing, Datenverlust und Diebstahl ◦ Erweiterte / zusätzliche Funktionen für das Smartphone → Funktionen ◦ Malware Scanner ◦ Backup & Locator Dienste ◦ Datenschutz ◦ Div. Sperr und Filterfunktionen © 2012 OneConsult GmbH 27 www.oneconsult.com
28.
Security Suites
Security Suites → Gegen was helfen Security Suites wirklich? ◦ Ergänzung der Schutzfunktionen vom Smartphone ◦ Erkennen von bestehenden / bekannten Gefahren → Was Security Suites nicht können ◦ Neue Angriffe erkennen ◦ «Intelligente» Angriffe verhindern ◦ Menschliches Verhalten ändern ◦ Entwickler sensibilisieren (Vergabe von Rechten) → Fazit: ◦ Sinnvolle Ergänzung zum Betriebssystem ◦ Falsches Sicherheitsgefühl ◦ Die bekannten AV-Hersteller sind bei den Tests vorne dabei © 2012 OneConsult GmbH 28 www.oneconsult.com
29.
Agenda
Agenda → Über OneConsult GmbH & me → Android OS → Sicherheitsanalyse → Security Suites für Android →Fazit © 2012 OneConsult GmbH 29 www.oneconsult.com
30.
Fazit
Fazit → Modernes Betriebssystem → Berücksichtigung von Sicherheitsaspekten → Es gilt zu beachten ◦ Attraktiv für Angriffe (Verbreitung, Daten) ◦ Langsame Updates / Automatische Updates ◦ Kein Vertrauen in Google Play → Eignet sich Android für den geschäftlichen Einsatz? ◦ Auch andere Smartphones haben Probleme ◦ Mobile Device Management (MDM) ◦ Einschränken der Gerätetypen (Update Aufwand) → XMV © 2012 OneConsult GmbH 30 www.oneconsult.com
31.
© 2012 OneConsult
GmbH www.oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Tobias Ellenberger Mediamatiker EFZ, MCITP, OPST & OPSA COO & Co-Partner tobias.ellenberger@oneconsult.com +41 79 314 25 25 Hauptsitz Büro Deutschland Büro Österreich OneConsult GmbH Niederlassung der OneConsult GmbH Niederlassung der OneConsult GmbH Schützenstrasse 1 Karlstraße 35 Wienerbergstraße 11/12A 8800 Thalwil 80333 München 1100 Wien Schweiz Deutschland Österreich Tel +41 43 377 22 22 Tel +49 89 452 35 25 25 Tel +43 1 99460 64 69 Fax +41 43 377 22 77 Fax +49 89 452 35 21 10 Fax +43 1 99460 50 00 info@oneconsult.com info@oneconsult.de info@oneconsult.at © 2012 OneConsult GmbH www.oneconsult.com
Descargar ahora