Owasp mobile top 10

OWASP Mobile Top 10

Tobias Ellenberger - COO & Co-Partner - OneConsult GmbH

Hacking Day 2012 – Future Security

14. Juni 2012

Agenda

→ Vorstellung

→ Open Web Application Security Project (OWASP)

→ OWASP Mobile Security Project

→ OWASP Mobile Top 10 in der Praxis

→ Tipps für die Entwicklung von Mobile Apps

→ Fazit

Über mich

→ Tobias Ellenberger

→ Ausbildung als Mediamatiker

→ Stetige Weiterbildung in den Bereichen Security, Netzwerk, Microsoft

→ Seit 2002 in den Bereichen Consulting und Engineering tätig

→ COO & Co-Partner der OneConsult GmbH

Vorstellung

OneConsult GmbH

→ IT Security Consulting & strategische Beratung → Kein Verkauf von Hard- und Software → Kunden

◦ Hunderte Unternehmen und Konzerne in Europa und Übersee ◦ tätig in allen Branchen

→ Kompetenz ◦ mehr als 500 technische Security Audits (davon 450 OSSTMM

konform) ◦ Dutzende konzeptionelle Projekte

→ Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Deutschland: Büro in München ◦ Österreich: Büro in Wien

Vorstellung

Unsere Dienstleistungen

Vorstellung

→ Security Audits ◦ Security Scan ◦ Penetration Test ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering ◦ Conceptual Security Audit

→ Consulting ◦ Strategy & Organisation ◦ Policies & Guidelines ◦ Processes & Documentation ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management

→ Incident Response ◦ Emergency Response ◦ Computer Forensics

→ Training & Coaching ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning ◦ Secure Software Development ◦ Coaching

→ Security as a Service

Agenda

→ Vorstellung

→ Open Web Application Security Project (OWASP) → Das OWASP Mobile Security Project

→ Die OWASP Mobile Top 10 in der Praxis

→ Sicherheit – Tipps für die Entwicklung von Mobile Apps

→ Fazit

Agenda

Open Web Application Security Project

→ Gegründet 01.12.2001 in der USA

→ Unabhängige Non-Profit-Organisation

→ Fördern von Applikationssicherheit mit ◦ Vorträgen

◦ Veröffentlichungen (OWASP Top 10, Bücher, Guidelines)

◦ Veranstaltungen

◦ Projekten

→ OWASP in Zahlen ◦ Über 30‘000 Subscribers

◦ Über 140 Projekte

◦ Über 170 „Chapters“ (-> local Chapter Switzerland www.owasp.ch)

→ OWASP Veranstaltungen ◦ Global AppSec Events (z.B Griechenland, USA, Uruguay) ◦ Regionale und Lokale Events (z.B Indien, Neuseeland, Deutschland) ◦ Partner Events (BHack, BlackHat USA, BruCON)

→ OWASP Bücher ◦ Ruby on Rails Security Guide ◦ Securing WebGoat using Modsecurity ◦ OWASP Backend Security

→ OWASP Projekte ◦ Protect ◦ Detect ◦ Life Cycle

Agenda

→ Vorstellung

→ OWASP Mobile Security Project → OWASP Mobile Top 10 in der Praxis

→ Fazit

Agenda

OWASP Mobile Security Project

→ Start: im Q3 2010 (Top 10 Release im September 2011)

→ Grund: eigene und unterschiedliche Risiken zu OWASP Top10

→ Ziel: Sicherheit in den Development Life Cycle integrieren

→ Inhalt: ◦ Mobile Secure Development Guidelines

◦ Top 10 Mobile Risks (Angreifer)

◦ Top 10 Mobile Controls (Verteidiger)

◦ OWASP GetDroid Project (Vulnerability-Testing für Android)

◦ OWASP MobiSec Project (Live Environment)

OWASP Mobile Top 10

→ Plattform unabhängig

→ Schwerpunkt sind generelle Risiken nicht einzelne Schwachstellen

→ Gewichtung anhand der «OWASP Risk Rating» Methode

OWASP Mobile Top 10

→ M1: Insecure Data Storage

→ M2: Weak Server Side Controls

→ M3: Insufficient Transport Layer Protection

→ M4: Client Side Injection

→ M5: Poor Authorization And Authentication

→ M6: Improper Session Handling

→ M7: Security Decisions Via Untrusted Inputs

→ M8: Side Channel Data Leakage

→ M9: Broken Cryptography

→ M10: Sensitive Information Disclosure

Agenda

→ Vorstellung

→ OWASP Mobile Top 10 in der Praxis → Tipps für die Entwicklung von Mobile Apps

→ Fazit

Agenda

OWASP Mobile Top 10

→ M1: Insecure Data Storage

→ M2: Weak server Side Controls

→ M3: Insufficient Transport Layer Protection → M4: Client Side Injection

→ M5: Poor Authorization and Authentication

→ M6: Improper Session Handling

→ M7: Security Decisions via untrusted Inputs

→ M8: Side Channel Data Leakage

→ M9: Broken Cryptography

→ M10: Sensitive Information Disclosure

OWASP Mobile Top10 in der Praxis

M1: Insecure Data Storage

→ Sensitive Daten werden ungeschützt gespeichert → Kann lokale Daten sowie in der Cloud gespeicherte Daten

betreffen → Ursache:

◦ Daten werden nicht oder unzureichend verschlüsselt ◦ Falsch oder nicht gesetzte Berechtigungen ◦ Nichtberücksichtigen von Hersteller Guidelines (Best-Practices) ◦ Cache = Datenspeicher

→ Auswirkung: ◦ Verlust von vertraulichen Daten ◦ Benutzername und Passwörter können ausgelesen werden

→ Praxis Beispiel anhand einer iOS App ◦ NSUserDefaults (Schnittstelle)

› Zitat Internet: «…mal eben eine Handvoll Daten speichern, ohne sich mit Pfaden, Dateinamen und Verzeichnissen herumärgern zu müssen. Genau das leisten die NSUserDefaults…»

› Speichert Einstellungen oder Daten in der Userdefault Datenbank des Betriebssystems.

+ (void)BEISPIEL-EMAILToDevice:(NSString *)bspEMAIL { [[NSUserDefaults standardUserDefaults] setValue:[BEISPIELMain encrypt:bspNumber] forKey:@«BEISPIEL-EMAIL"]; } + (void)BEISPIEL-PasswordToDevice:(NSString *)bspPassword { [[NSUserDefaults standardUserDefaults] setValue:[BEISPIELMain encrypt:bspPassword] forKey:@«BEISPIEL-Password"]; }

→ Praxis Beispiel anhand einer iOS App ◦ Die «Verschlüsselung»

◦ Hardcoded Key

◦ XOR

+ (NSString *)encrypt:(NSString *)string { NSString *key = @«XYZzyx+xy&1234xyzyx4321";

return [BEISPIELMain encrypt:string withKey:key]; } … // For each character in data, xor with current value in key for (int x = 0; x < [data length]; x++) { …

text XOR key = ciphertext ciphertext XOR key = text text XOR ciphertext = key

→ Präventive Massnahmen: ◦ Nur unbedingt benötigte Informationen auf dem Gerät speichern

◦ Wenn möglich keine Verzeichnisse oder Orte zum speichern verwenden die für alle zugängliche sind

› ungesicherte SD-Karte

› Benutzerstandardverzeichnisse

◦ Sichere API’s und Containers des Betriebssystems verwenden

◦ Zugriffsrechte beachten und wenn immer möglich keine globalen Berechtigungen vergeben (z.B «world readable» – «world writeable»).

◦ Keine selbst programmierten Verschlüsselungstechniken verwenden sondern diejenigen, welche allgemein als sicher gelten.

M2: Weak Server Side Controls

→ Betreffen die Backend Systeme

→ Sind keine «mobile risks»

→ Ursache: ◦ Den Mobilen Clients (oder der App) wird vertraut

◦ Bestehende Kontrollmechanismen vernachlässigt oder nicht angepasst

◦ Zeitdruck und Fokussierung auf App

→ Auswirkung: ◦ Keine Integrität der Daten

◦ Verlust von vertraulichem Inhalt

◦ Service Verfügbarkeit

→ Beispiel einer iPhone und Android App ◦ App macht einfache SOAP Anfrage «Login»

◦ Absender App <-> Empfänger Server

◦ Absender immer App?

SOAP Anfrage «Login» <Login

xmlns="http://beispiel.url.loginch/">

xmlns:ns1="http ://beispiel.url.loginch

/" xsi:type="ns1:Login"

xmlns=""> <pw xsi:type="ns1:Login">

<e-mail

xsi:type="ns1:e-mail">

<mail>mail@beispiel.com</mail>

</e-mail>

</var1>

</login>

→ Beispiel einer iPhone und Android App ◦ Server ist NICHT nur für die App erreichbar

◦ Angreifer macht einfache SOAP Anfrage «Login»

SOAP Anfrage

«Login 1» SOAP Anfrage

«Login X»

→ BTW: «Server Side Controls»

→ …

→ Präventive Massnahmen ◦ Verstehen der zusätzlich entstehenden Risiken

◦ Bestehendes Know-how (Web Security) darf nicht vergessen gehen sondern muss in die «neue» Infrastruktur einfliessen

◦ Bekannte Risiken und Guidelines von Anfang an mit einbeziehen

› OWASP Top 10

› OWASP Mobile Top 10

› OWASP Web Services Top 10

› OWASP Cloud Top 10

◦ Infrastrukturkomponenten Up-to-date halten

M3: Insufficient Transport Layer Protection

→ Daten werden nicht oder nur unzureichend für die Übermittlung verschlüsselt

→ Schwache Verschlüsselung für die Übermittlung → Ursache:

◦ Zertifikatsprobleme (z.B ignorieren durch Benutzer) ◦ Falsches Error Handling ◦ Weitergabe von Daten an Drittanbietern ◦ Benutzen von GET-Requests für die Übermittlung

→ Auswirkung: ◦ Man-in-the-Middle Attacken ◦ Verfälschen und/oder abhören von übermittelten Daten ◦ Vertrauensverlust

→ Beispiel einer iPhone App ◦ Benutzername und Passwort senden via GET-Request

◦ Problem: Kann gecached werden oder in Log eingesehen

◦ Eine Verbindung sollte IMMER verschlüsselt sein

GET /url/mobile/login.html?=/url/mobile/.acc.html

&lang=de&eml=oneconsult&pwd=1234 HTTP/1.1

Host: beispiel.url.ch

Accept-Encoding: gzip, deflate

Accept-Language: en-us

GET /url/mobile/login.html?=/url/mobile/.acc.html

&lang=de&firstname=oneconsult&

lastname=oneconsult&reference=XYZ HTTP/1.1

Host: beispiel.url.ch

→ Beispiel einer iPhone App ◦ Zertifikatsüberprüfung

→ Beispiel einer iPhone App ◦ Problem: Man-in-the-Middle Attacke

host.domäne.ch

fake.angriff.com

fake.angriff.com?j

→ Präventive Massnahmen ◦ Beachten von Warnhinweisen (Zertifikatswarnungen!) insbesondere

bei «grossen» Anbietern

◦ Versichern, dass alle Daten die das Gerät verlassen verschlüsselt ist

◦ Die Daten müssen für die Übertragungen auf allen Kanälen verschlüsselt sein

› DSL

› Wireless

› NFC

› 3G / UMTS etc.

Agenda

→ Vorstellung

→ Tipps für die Entwicklung von Mobile Apps → Fazit

Agenda

Sicherheits - Tipps

→ Hersteller Guidelines

→ Integrieren der Security Themen in die Entwicklung

→ Berücksichtigen von bestehendem Know-How

→ Sicherheitsspezifische Aspekte durch Spezialisten (IT-Abteilung, Security-Abteilung, Externe Partner) beurteilen und ausarbeiten lassen.

→ Vorsicht bei der Integration vom Code von Drittanbietern (z.B Barcodeleser, Statistikprogramme etc.)

→ KISS (Keep it Small and Simple)

→ Aktuell halten (nicht nur den Inhalt)

Sicherheit - Tipps für die sichere Entwicklung von Mobile Apps

Agenda

→ Vorstellung

→ Fazit

Kapitel XY

→ Für Mobile Apps gibt es alte (bekannte) und neue Risiken ◦ Backend Services

◦ Datenhaltung (Lokal, Cloud etc.)

◦ Datenübermittlung

→ Die OWASP Mobile Top 10 Risiken entsprechen den Erfahrungen aus der Praxis

→ Eine Überprüfung Mobiler Applikationen beinhaltet auch die Überprüfung der Backend Server und deren Services

→ Den Clients kann man immer noch nicht trauen

Büro Deutschland Niederlassung der OneConsult GmbH Karlstraße 35 80333 München Deutschland

Tel +49 89 452 35 25 25 Fax +49 89 452 35 21 10 info@oneconsult.de

Büro Österreich Niederlassung der OneConsult GmbH Wienerbergstraße 11/12A 1100 Wien Österreich

Tel +43 1 99460 64 69 Fax +43 1 99460 50 00 info@oneconsult.at

Hauptsitz OneConsult GmbH Schützenstrasse 1 8800 Thalwil Schweiz

Tel +41 43 377 22 22 Fax +41 43 377 22 77 info@oneconsult.com

Danke für Ihre Aufmerksamkeit! Fragen?

Tobias Ellenberger Mediamatiker EFZ, MCITP, OPST & OPSA COO & Co-Partner tobias.ellenberger@oneconsult.com +41 79 314 25 25

Owasp mobile top 10

Technology

Mobile Hacking Android - OWASP · – Intern – Marko Winkler / Mobile Hacking - Android 15.02.2017 11 Android Manifest system must know that the component exists by reading the

Java Deserializaon A0acks - OWASP · Java Deserializaon A0acks Angriﬀ & Verteidigung 1 Christian Schneider, @cschneider4711 Alvaro Muñoz, @pwntester (in Absentia)

Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

2013-04-23-01 Top-Start für Ihre Neuprodukte · Vermarktung neuer Produkte via Mobile und Social Media • Grundbegriffe, Daten und Fakten • Kostenvorteile gegenüber dem klassischen

HISOLUTIONS SCHWACHSTELLEN-REPORT 2020€¦ · 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Injection (OWASP A1) Broken Authentication (OWASP A2) Sensitive Data Exposure (OWASP A3)

Click’X System. Das umfassende Top- Loading-System aus ...synthes.vo.llnwd.net/o16/LLNWMB8/INT Mobile/Synthes...487.061–068 9.0 mm 30 – 65 mm türkis Click’X Monoaxial Rotierbar,

5. German OWASP Day, 07.11.2012, München : in Translation ... · Lostin%Translaon:% Missverständnisse%zwischen%Mensch%und%Maschine% und%deren%Auswirkungen%auf%%Web>Security%

OWASP Top 10 - 2013 Willkommen zu den OWASP Top 10 2013! Diese Neufassung erweitert eine der Kategorien aus der 2010-Edition um verbreitete, wichtige Schwachstellen und gewichtet einige

Review Die neue und spezialisierte OWASP API Security Top ......che von Webanwendungen. Das Open Web Application Se - curity Project (OWASP) reagiert darauf mit einer neuen und spezialisierten

Employer Branding bei T-Mobile Austria - WKO.at · Vorstellung des Recruiting Teams ... Google) Facebook Livestream Top Company Gütesiegel durch sehr gute ... Reichweite: mehr als

OWASP Top 10 Schulung › ... › 2018 › OWASP_Top_10_Homepage.pdfEntwicklung der OWASP Top 10 OWASP Top Ten - 2010 OWASP Top Ten - 2013 OWASP Top Ten –2017 A1 –Injection Flaws

Das neue Geld ist digital! - Ein Infopaper zu den Themen Mobile Ticketing & Payment / Mit Beiträgen von Top-Unternehmen wie Lufthansa, Mastercard, E-Plus u.v.m

MOBILE@ * go.jp/mobile/ MOBILE+M ...MOBILE@ * go.jp/mobile/ MOBILE+M . MOBILE æ4frfi dB) üJ:LJ . Created Date: 9/28/2010 3:49:54 PM

Webinar: Was die Top eCommerce Firmen über Ihre Performance auf Web- & Mobile

WIRTSCHAFTLICHKEITSBEWERTUNG UND …...Gemeinschaftliche PV-Anlage Top 9 Top 10 Top 7 Top 8 Top 5 Top 6 Top 3 Top 4 Top 1 Top 2 05.02.2018 9 2. MODELL UND METHODE (6/6) Bild: Dynamische

Bezi rksverord netenversam m 1 u ng Mitte von Berlin Einladung · TOP 7.3 TOP 7.4 TOP 7.5 TOP 7.6 TOP 7.7 TOP 7.8 TOP 7.9 Bezirksamt baut Hürden für Nisan 2017 /IV Fraktion Bündnis

Studienflyer - servicevalue.de · FleishmanHillard Germany Top Berater mc Group Top Berater Ketchum Pleon Top Berater häberlein & mauerer Top Berater Weber Shandwick Top Berater

Mobile Hacking Android - OWASP · Einführung - Terminologie – Intern – Marko Winkler / Mobile Hacking - Android 15.02.2017 5 Services service is a component that runs in the

Kommunikationsstandards im Gesundheitswesen - OWASP · 2020. 1. 17. · Med. Klinik Dok.Gateway Kinderklinik HYDMedia / Agfa document Archiv IMS.MED / Imagic picture archiv Metek

LEOH11-Katalog · 13. projekt obe r-lich t top 1/1 4 top 1 / 1 3 top 1/15 top 1 / 1 6 top 2 / 2 8 top 2/2 7 top 2 / 2 6 top 2 / 2 5 top 2 / 2 1 top 2 / 2 0 top 2 / 2 3 top 2/2 4 top