Sie sind auf Seite 1von 24

Gegenberstellung der technischen iPhone und Android Sicherheit

Welchen Sicherheitsgewinn bringt Mobile Device Management?

54. DFN-Betriebstagung AK Mobile IT 15.3.2011 Berlin

berblick

iOS Schutzfunktionen
Sandbox Grundlagen Data Protection

Vergleich Android Hufige Fragen zur Sicherheit


Jailbreaking Folgen von Lcken

Device Management
Grundlagen iOS / Android Sicherheitsgewinn

Fazit
Fraunhofer SIT

iOS Application Sandboxing

Jede App kann nur auf eigene Dateien und Einstellungen zugreifen
Aber auf Filesystem-Ebene haben alle Apps Zugriffsrechte auf die Dateien Alle Apps laufen unter der selben User ID Bei einem Fehler der Sandbox kann dies ausgenutzt werden

Apps knnen nur auf APIs zugreifen


Kein direkter Zugriff auf OS Ressourcen Beispiel: App kann auf CFNetwork API zugreifen, um mit der Auenwelt zu kommunizieren, aber kein direkter Zugriff auf Network Interfaces mglich

Fraunhofer SIT

iOS Application Sandboxing Privacy-Lcke


Lesender Zugriff von einer App auf Daten auerhalb der App-Verzeichnisse
Nicht erlaubt im Store, aber im Gert technisch nicht unterbunden Einschrnkung: In manchen Fllen mssen Dateinamen bekannt sein Demo-App SpyPhone von Nicolas Seriot zeigt mgliche Folgen fr Standard-Apps SpyPhone nicht im App Store, aber im Quellcode frei verfgbar fr Entwickler Funktionen fr Zugriff auf Dateisystem im Binrcode zwar auffindbar, aber Zieldatei und Zweck lassen sich beliebig verschleiern Kaum Schutz gegen versierte Angreifer mglich

http://bit.ly/6tdgP3
Fraunhofer SIT

iOS Prozess Sicherheit Sandbox Regeln


Sandbox wird mit Regeln fr jede App erzeugt; sog. Sandboxing Rules
Existenz des Mechanismus bedingt nicht die Ausfhrung der Regeln Regeln werden nur angewendet wenn ein Programm / Prozess mit diesen Regeln eingesperrt wird Regeln werden erst dann auf Kernel-Level ausgefhrt Programme knnen sich selbst einsperren mittels sandbox_init Programme knnen von auen eingesperrt werden mittels sandbox-exec

Einschrnkungen unabhngig von POSIX-Rechten und ACLs


Sandbox kann nichts zustzlich ermglichen, nur weiter einschrnken

Fraunhofer SIT

Android Sandbox Vergleich iOS


Berechtigungen im Kernel verankert
Default: Deny All kein Zugriff auf App-fremde Daten und kein Zugriff auf Gertefunktionen Erteilen weiterer Rechte ber statische Permissions Data-Sharing ber Provider-Konzept Java-, Native- und Hybrid-Apps gleich behandelt

Benutzerkonzept
Jede App wird mit eigener User ID gestartet Schutzebene: Filesystem-Rechte Prozessisolation durch Kernel

Strkere Isolierung der Apps gegenber iOS


Kann aber auch keine Trojaner verhindern jedoch max. Potential von Apps definiert Root-Exploits knnen dennoch Konzept umgehen
Fraunhofer SIT

iOS Jailbreaking Auswirkungen auf die Sicherheit


Aufheben der Sandbox
Anwendungen knnen als root auerhalb der Sandbox gestartet werden und unterliegen dann keinen Beschrnkungen mehr! Schreib- und Ausfhrungsrechte auf gesamtem Dateisystem Ausfhrung von selbst signiertem Code

Vertrauenswrdigkeit der Tools umstritten


Manipulation an Firmware knnte auch Hintertren einbauen Handhabung nicht vllig gefahrlos: z.B. Wrmer durch Standardpasswrter

Fraunhofer SIT

iOS Jailbreaking Auswirkungen auf die Sicherheit (2)


Preisgabe von sicherheitsrelevanten Informationen
SHSH-Blobs via Cydia (Saurik Server) nicht geschtzt Auch Finder eines Gertes knnen die SHSHBlobs dort abrufen Gefhrdung durch Jailbreak besteht somit auch fr Gerte mit Versionen die gegenwrtig nicht gejailbreakt werden knnen, deren SHSH-Blogs aber frher vom Nutzer gespeichert wurde Erlaubt Downgrade auf frhere iOS Version, die hufig leichter angreifbar ist

Verfgbarkeit bei Updates


Updates werden hufig bewusst nicht mehr eingespielt, um Jailbreak nicht zu verlieren Gerte bleiben daher oft gegen Bedrohungen ungeschtzt bis neuer Jailbreak verfgbar
Fraunhofer SIT

iOS Data Protection Keybags


Dateien sind nur bei expliziert Anforderung des Schutzes verschlsselt
Auf Anwendungsebene sind zunchst alle Dateien unverschlsselt Auf Anforderung einer App wird eine verschlsselte Datei mit einem individuellen Schlssel angelegt

Unterschiedlicher Schutz der Schlssel


Immer verfgbar (default) Verfgbar wenn entsperrt Verfgbar nach dem ersten Entsperren

Fraunhofer SIT

iOS Data Protection


Data Protection ist nach Update nicht automatisch aktiv! Prfen in: Eins tellungen / Allgem ein / Code-S perre / (rot markierter Text erwhnt Datenschutz nicht -> nicht aktiv )

Filesystem muss nach Update fr Data Protection angepasst werden


Mit iTunes Auf Fabrikeinstellungen zurcksetzen (w iederhers tellen), dann Backup zurckspielen Erst wenn grn markierter Hinweis erscheint ist Data Protection aktiv !

Fraunhofer SIT

10

iOS Data Protection Angriffe auf Keybags


Backup Keybag
Auf Computern gespeichert mit denen Gert synchronisiert wurde; geschtzt mit Backup Passwort

System Keybag
Bruteforce Angriff nur auf Gert ausfhrbar, wegen Schutz des Device keys Fehlversuchsschutz nur GUI; Jailbreak ermglicht direkten Angriff Bewusste Verlangsamung der Schlsselgenerierung: ~20 Versuche pro Sekunde auf aktuellem iPhone 4
4 stelliger Zahlencode: ca. 8 Minuten 6 stelliger Zahlencode: ca. 14 Stunden 6 stelliger alphanum. Code ca. 3,5 Jahre; aber Wrterbuchangriff beachten!
Fraunhofer SIT

11

iOS Physischer Zugriff

Jailbreaking: Welche Privilegien hat ein Angreifer nach Anwendung eines StandardTools?
Kann das verschlsselte Dateisystem mounten und hat damit Lese- / Schreib-Zugriff auf alle Dateien Keychain, Keybags und Dateien mit Data Protection sind selbst nochmals verschlsselt Keychain jedoch teilweise nur verschlsselt mit Device Key; kann daher auf dem Gert entschlsselt werden, dies bentigt aber gegenwrtig noch zustzliches Knowhow (siehe http://bit.ly/fKi2Nn )

Fraunhofer SIT

12

iOS logischer Zugriff

Sicherheitseskalation nach Ausnutzen einer iOS-Lcke: Zugriff auf Data Protection Files?
E-Mails ab iOS 4.2 geschtzt mit Data Protection (wenn aktiviert) Wenn Passcode gesetzt, mit diesem im Filesystem verschlsselt; Aber: auch diese Verschlsselung ist transparent! Root erlangt Filezugriff mglich E-Mail Passwort dann ohnehin auslesbar Zugriff auch ber E-Mail-Server Somit ist der zustzliche Data Protection Schutz eher gegen physischen Zugriff gerichtet.

Fraunhofer SIT

13

Was fehlt Android gegenber iOS fr den Unternehmenseinsatz?


Android Android
Kein einheitlicher Funktionsumfang Hersteller- / Versionsabhnige Unterschiede in der Verwaltung

Dateisystem Verschlsselung
keine direkte OS-Untersttzung (< 3.0 Honeycomb) Sicherer Schlsselspeicher

Patch-Management
Durch Gertevielfalt in Hand der Hersteller Kaum Patches; lange Wartezeiten

Fraunhofer SIT

14

Was fehlt Android gegenber iOS fr den Unternehmenseinsatz? (2)


Durchsetzbarkeit der Richtlinien
Durch Nutzung alternativer E-Mail-Clients bspw. ActiveSync Richtlinien umgehbar Mit anderen Tools ebenso umgehbar, z.B. LockPicker, Extend Lock Time,

Fernwartung
Nur Basisfunktionen fr Ferninstallation Kein Remote Wipe (Herstellerabhngig) Noch offen wann Enterprise Initiativen hier Abhilfe schaffen [Samsung, Sybase] [HTC, Motorola, Pantech, Sharp, Sony Ericsson]
Fraunhofer SIT

15

iOS Device Management Schnittstellen


Logische iOS Verwaltungsschnittstellen
Authentication: Registrierung Nutzer / Gert Enrollment: gemeinsames Geheimnis erzeugen Device Configuration: bermittlung Konfiguration

iPhone Configuration Utility


Zum Erstellen der Konfigurationen / Richtlinien Zur Verteilung und Verwaltung jedoch zustzliche Software ntig Einfachster Fall: Webserver liefert manuell .mobileconfig Dateien an Endegrte aus

Bastel-Lsungen zur Integration mit IIS und SCEP


mglich 3rd Party-Produkte nutzen die selben Schnittstellen, erzeugen aber deutlich mehr Funktionalitt

Fraunhofer SIT

16

Mobile Device Management Grundfunktionen 3rd Party Lsungen


Softwareverteilung
Zentrale Bereitstellung von Software Zuordnung zu Endgerten/-gruppen Automatische bertragung und Installation Definierbare bertragungszeitpunkte Wahlmglichkeit der bertragung (GPRS,UMTS,WLAN)

Remote Konfiguration
Vollstndiger Remote-Zugriff Auslesen von Konfigurationen Konfiguration von Applikationen, Netzwerkinstallation Mglichkeit zur Benachrichtigung

Fraunhofer SIT

17

Mobile Device Management Grundfunktionen 3rd Party Lsungen (2)


Inventarisierung
Hardware Software Verwaltung von Software-Lizenzen

Backup and Restore


Vollstndiges Backup / definierbare Einzeldateien Verschlsselung Intervallsteuerung Wahlmglichkeit der bertragung

Endgertesicherheit
Konfiguration von Passwort/Sicherheitsrichtlinien Fernsperrung/-lschung Patch-Management

Fraunhofer SIT

18

Mobile Device Management Grundfunktionen 3rd Party Lsungen (3)


Container-Funktionalitt
Trennung privat / geschftlich

Infrastruktur-Kontrolle
Nur registrierte und kontrollierte Gerte erhalten Zugriff auf Unternehmensdienste Erkennung von Gerten mit Jailbreak (umstritten)

Fraunhofer SIT

19

Mobile Device Management Wirkungsweise 3rd Party Lsungen


Bentigt App auf Endgert
Installation ber App-Store / Android Market Dient auch als Enforcement Agent Dupliziert PIM-Anwendungen fr Unternehmensumfeld Regelt Zugang zu Unternehmensbereich

Server-Gegenstelle
Fragt Device-Informationen fr Registrierung ab Sendet Konfiguration Datenbank ber Nutzer, Gerte, Einstellungen Steuert Zugriff auf Unternehmensressourcen (blockiert private / nicht verwaltete Gerte)

Fraunhofer SIT

20

Mobile Device Management Sicherheitsgewinn fr iOS


Organisatorisch
Vergleichbare Mglichkeiten wie bei DesktopSysteme: verwalten, kontrollieren, beschrnken Sicherheitsgewinn durch effektive Umsetzung der Richtlinien Startpunkt fr sichere Prozesse rund um das Lifecycle Management von Endgerten

Funktional
Management App besitzen selbst nur App-Rechte; kann OS-Schwchen nur bedingt beheben Container-Verschlsselung und Trennung der Daten bringt Sicherheitsgewinn, ist aber nicht sicher gegen alle Angriffsvektoren Gesamtsicherheit abhngig vom Einsatz und Konfiguration der Lsungen

Fraunhofer SIT

21

Mobile Device Management Sicherheitsgewinn fr Android


Organisatorisch
Vergleichbar empfehlenswert wie bei iOS

Funktional
Grerer Gewinn im Vergleich zu iOS, da mehr Funktionen nachgerstet werden z.B. Backup, Verschlsselung, Restiktionen, Nutzer knnen Restriktionen durch offenere Architektur jedoch leichter umgehen Container-Verschlsselung: groes Plus gegenber ungemanagten Gerten und potentiell sicherer als bei iOS durch strkere Prozess-Isolation Gesamtsicherheit auch hier abhngig vom Einsatz und Konfiguration der Lsungen

Fraunhofer SIT

22

Fazit

iOS und Android holen bei Sicherheitsfunktionen gegenber BlackBerry weiter auf
Android mit sichererer Architektur, aber nutzt noch nicht volles Potential weil noch jnger

Apple berlsst Unternehmensfunktionen Drittanbietern Mobile Device Management erhht vor allem den Schutz im normalen Betrieb
Kontrolle angebracht wie bei PC-Systemen Gegen gezielte Angriffe fehlt Verankerung im OS

Mobile Endgerte bieten inzwischen mehr Schutz als viele Desktopsysteme


Bei physischem Zugriff dennoch hufig umgehbar

Fraunhofer SIT

23

Kontakt

Jens Heider Rheinstr. 75 D-64295 Darmstadt E-Mail: jens.heider@sit.fraunhofer.de Web: http://www.sit.fraunhofer.de http://testlab.sit.fraunhofer.de
Fraunhofer SIT

24