security threats and mi0ga0ons for ios developers
play

Security threats and mi0ga0ons for iOS developers Emil - PowerPoint PPT Presentation

Apr 22, 2023 •104 likes •440 views

Security threats and mi0ga0ons for iOS developers Emil Kvarnhammar www.truesecdev.com Twi=er: @emilkvarnhammar Isnt iOS secure? Q1 2014 : goto fail; Q4

  1. Security ¡threats ¡and ¡mi0ga0ons ¡ for ¡iOS ¡developers ¡ Emil ¡Kvarnhammar ¡ www.truesecdev.com ¡ Twi=er: ¡@emilkvarnhammar ¡

  3. Isn’t ¡iOS ¡secure? ¡

  4. Q1 ¡2014 ¡: ¡goto ¡fail; ¡

  5. Q4 ¡2014 ¡: ¡Wirelurker ¡(Masque ¡a9acks) ¡

  6. Q2 ¡2015 ¡: ¡New ¡Masque ¡A9acks ¡

  7. Q3 ¡2015 ¡: ¡AirDrop ¡vulnerability ¡

  8. Q3 ¡2015 ¡: ¡Xcode ¡Ghost ¡

  9. Xcode ¡Ghost ¡

  10. From ¡an ¡a=acker’s ¡point ¡of ¡view ¡

  11. What’s ¡of ¡interest? ¡ • ExtracMng ¡app ¡data ¡ – Creden0als, ¡Documents, ¡Email ¡etc. ¡ • Execute ¡code ¡ – Impersonate ¡legi0mate ¡apps ¡ – Steal ¡app ¡data ¡ – Phishing ¡(creden0als, ¡credit ¡card ¡details ¡etc.) ¡ – Command ¡& ¡Control ¡(botnets ¡etc.) ¡

  12. What ¡are ¡the ¡security ¡mechanisms? ¡

  13. What ¡are ¡the ¡security ¡mechanisms? ¡ 1. ¡App ¡store ¡review ¡

  14. What ¡are ¡the ¡security ¡mechanisms? ¡ 2. ¡Mandatory ¡code ¡signing ¡

  15. Used ¡to ¡bypass ¡app ¡store ¡review! ¡

  16. What ¡are ¡the ¡security ¡mechanisms? ¡ 3. ¡Sandboxing ¡

  17. Sandboxing ¡ • Enforced ¡by ¡plaXorm ¡ • Break-­‑out ¡vulnerabili0es ¡in ¡almost ¡all ¡versions ¡ – Used ¡by ¡jailbreaks ¡ – App ¡store ¡is ¡an ¡extra ¡safety ¡net ¡ • Cross-­‑app ¡access ¡ – Extensions ¡ – Custom ¡URI ¡scheme ¡

  18. What ¡are ¡the ¡security ¡mechanisms? ¡ 4. ¡Data ¡protec0on ¡(at ¡rest) ¡

  19. Data ¡protec0on ¡ • Default ¡encryp0on ¡since ¡iOS ¡8 ¡(if ¡passcode ¡set) ¡ – NSFileProtec0onComplete* ¡flags ¡ • A=acks ¡ – Backups ¡(iCloud ¡or ¡iTunes) ¡ – Jailbreak ¡ – Masque ¡a=acks ¡

  20. Preven0ng ¡backup ¡of ¡file ¡ BOOL ¡success ¡= ¡[URL ¡setResourceValue: ¡[NSNumber ¡numberWithBool: ¡YES] ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡forKey: ¡NSURLIsExcludedFromBackupKey ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡error: ¡&error]; ¡ h=ps://developer.apple.com/library/ios/qa/qa1719/_index.html ¡

  21. Keychain ¡items ¡ Use ¡*ThisDeviceOnly ¡access ¡keys ¡ ¡ Example: ¡kSecA=rAccessibleAperFirstUnlockThisDeviceOnly ¡ ¡

  22. What ¡are ¡the ¡security ¡mechanisms? ¡ 5. ¡App ¡Transport ¡Security ¡

  23. SSL/TLS ¡ AuthenMcity ¡ ConfidenMality ¡ Integrity ¡ Cert ¡is ¡validated ¡against ¡ trusted ¡CA ¡certs ¡in ¡client ¡ Client ¡ Server ¡ Client ¡Hello ¡ Server ¡Hello, ¡Cer0ficate ¡etc. ¡ Client ¡Key ¡Exchange ¡etc. ¡ Change ¡Cipher ¡Spec ¡ Applica0on ¡data ¡

  24. App ¡Transport ¡Security ¡ • Enforces ¡best ¡prac0ces ¡for ¡server ¡connec0ons ¡ – h=ps ¡only ¡ – Only ¡trusted ¡cer0ficates ¡ – TLS ¡version ¡1.2, ¡with ¡forward ¡secrecy ¡ ¡ ¡ ] ¡ ¡ ¡ ! t Developers ¡must ¡explicitly ¡opt-­‑out ¡ u o -­‑ t p o ¡ t ’ n o D ¡ ¡ [

  25. More ¡regarding ¡SSL/TLS… ¡ • Cert ¡pinning ¡is ¡recommended ¡ – Validate ¡cer0ficate ¡chain ¡ – Validate ¡that ¡cert ¡corresponds ¡to ¡host ¡name ¡ • If ¡you ¡use ¡AFNetworking… ¡ – Your ¡app ¡might ¡be ¡vulnerable ¡to ¡MiTM ¡a=tacks ¡ – Update ¡to ¡latest ¡version ¡

  26. Time ¡for ¡demos… ¡

  27. Masque ¡a=acks ¡ • App ¡Masque ¡ • URL ¡Masque ¡ • Extension ¡Masque ¡ • …and ¡more ¡ ¡ h=ps://www.fireeye.com/blog/threat-­‑research/2015/06/three_new_masquea=.html ¡

  28. Injec0ng ¡code ¡in ¡Xcode ¡ • Steal ¡Apple ¡ID ¡developer ¡account ¡ • Inject ¡code ¡in ¡apps ¡

  29. Summary ¡

  30. Summary ¡ • Several ¡great ¡security ¡mechanisms ¡in ¡iOS ¡ • …but ¡also ¡vulnerabili0es ¡ – Apps ¡can ¡be ¡replaced ¡ – App ¡data ¡can ¡be ¡stolen ¡ • A=ackers ¡a=ack ¡your ¡developer ¡machines ¡ – Patch ¡ – Encrypt ¡ – Be ¡careful ¡what ¡“tools” ¡you ¡are ¡downloading ¡

  31. Full ¡day ¡about ¡security ¡for ¡developers: ¡ h=p://oredev.org/2015/security-­‑day ¡ Emil ¡Kvarnhammar ¡ www.truesecdev.com ¡ Twi=er: ¡@emilkvarnhammar ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

CPSC410/611: Security Security Security Attacks Security Threats Crypto

CPSC410/611: Security Security Security Attacks Security Threats Crypto

CPSC 410 / 611 : Operating Systems CPSC410/611: Security Security Security Attacks Security Threats Crypto Authentication Examples SSL Security Threats Breach of confidentiality unauthorized access to

458 views • 18 slides
Module 20: Security The Security Problem Authentication Program Threats System

Module 20: Security The Security Problem Authentication Program Threats System

Module 20: Security The Security Problem Authentication Program Threats System Threats Threat Monitoring Encryption Silberschatz and Galvin 1999 Operating System Concepts 20.1 The Security Problem Security must

155 views • 11 slides
Module 19: Security The Security Problem Authentication Program Threats System

Module 19: Security The Security Problem Authentication Program Threats System

Module 19: Security The Security Problem Authentication Program Threats System Threats Securing Systems Intrusion Detection Encryption Windows NT Operating System Concepts Silberschatz, Galvin and Gagne 2002

425 views • 9 slides
Integrated Security Curriculum Conceptions of SECURITY RISK THREATS TECH VALUES The Big

Integrated Security Curriculum Conceptions of SECURITY RISK THREATS TECH VALUES The Big

5/18/2017 Integrated Security Curriculum Conceptions of SECURITY RISK THREATS TECH VALUES The Big Picture: Integrated Security Pathways Cyber Security ISERC Student portal National Security Studies CAPSTONE: Gateway course Peace Studies

298 views • 3 slides
Com puter Security - Part Three Last tim e Multilevel and multilateral security Threats

Com puter Security - Part Three Last tim e Multilevel and multilateral security Threats

Com puter Security - Part Three Last tim e Multilevel and multilateral security Threats Security policies Confidentiality Policies Policy The Bell-LaPadula Model Specification Integrity Policies The Biba

698 views • 49 slides
Introduction What I do Research new vulnerabilities, malware, and other security threats

Introduction What I do Research new vulnerabilities, malware, and other security threats

Introduction What I do Research new vulnerabilities, malware, and other security threats Create defensive measures Evaluate security software What this talk is about Windows rootkits How they are used How they work

790 views • 54 slides
Roadmap for Section 7.1 The Security Problem - a Definition Program & System Threats

Roadmap for Section 7.1 The Security Problem - a Definition Program & System Threats

Unit OS7: Security 7.1. The Security Problem Windows Operating System Internals - by David A. Solomon and Mark E. Russinovich with Andreas Polze Roadmap for Section 7.1 The Security Problem - a Definition Program & System Threats Security

518 views • 6 slides
Com puter Security Part Tw o Previously Introduction Threat analysis Threats

Com puter Security Part Tw o Previously Introduction Threat analysis Threats

Com puter Security Part Tw o Previously Introduction Threat analysis Threats Policy Specification Design Implementation Operation and Maintenance Now Multilateral and Multilevel security Security policies

355 views • 24 slides
One Resilience Noel L.J. Miranda, Bio-security/Bio-threats Preparedness Consultant ARF

One Resilience Noel L.J. Miranda, Bio-security/Bio-threats Preparedness Consultant ARF

Bio-security and -preparedness within One Resilience Noel L.J. Miranda, Bio-security/Bio-threats Preparedness Consultant ARF CROSS-SECTORAL SECURITY COOPERATION ON BIO-PREPAREDNESS AND DISASTER RESPONSE WORKSHOP 26-28 August 2014, Makati City,

446 views • 19 slides
===!" Laboratories Security threats Bots by numbers the botnet owners in

===!" Laboratories Security threats Bots by numbers the botnet owners in

Securing the I nternet Threats, Trends and Tussles Dr. Roger P. Karrer Senior Research Scientist Deutsche Telekom Laboratories TU Berlin Berlin, Germ any Deutsche Telekom ===!" Laboratories Security threats Bots by numbers

131 views • 11 slides
Responding to Emerging Threats to Energy Security and Stability (Luncheon Speech, January

Responding to Emerging Threats to Energy Security and Stability (Luncheon Speech, January

Emerging Threats to Energy Security and Stability NATO Advanced Research Workshop January 23 to January 25, 2004 - St. Georges House, Windsor Castle, UK Responding to Emerging Threats to Energy Security and Stability (Luncheon Speech,

498 views • 8 slides
Com puter Security Last tim e Introduction Threat analysis Threats Introduction

Com puter Security Last tim e Introduction Threat analysis Threats Introduction

Com puter Security Last tim e Introduction Threat analysis Threats Introduction to access control Policy matrix Specification Design Implementation Operation and Maintenance Security in the Course Lectures

784 views • 40 slides
Com puter Security Part Four Last tim e Cryptography Authentication Threats

Com puter Security Part Four Last tim e Cryptography Authentication Threats

Com puter Security Part Four Last tim e Cryptography Authentication Threats Key Management KDC Policy Symmetric keys Specification Asymmetric keys PKI Design Security Protocols Kerberos

617 views • 39 slides
17Nov19 Information Security Essentials Recognizing Threats in Your Daily Routine This

17Nov19 Information Security Essentials Recognizing Threats in Your Daily Routine This

17Nov19 Information Security Essentials Recognizing Threats in Your Daily Routine This module will teach you what is information security, how to identify and avoid potential security risks in the workplace and beyond. 1 Introduction

406 views • 7 slides
Survey on Security Threats and Protection Mechanisms in Embedded Automotive Networks Ivan

Survey on Security Threats and Protection Mechanisms in Embedded Automotive Networks Ivan

The Automotive Network Threats Protection mechanisms Conclusion Survey on Security Threats and Protection Mechanisms in Embedded Automotive Networks Ivan Studnia Vincent Nicomette Eric Alata Yves Deswarte Mohamed Ka aniche Renault

752 views • 40 slides
Defence Industry Security Program May 2019 2 Security Environment Corporate Espionage

Defence Industry Security Program May 2019 2 Security Environment Corporate Espionage

Defence Industry Security Program May 2019 2 Security Environment Corporate Espionage Foreign Espionage and Interference Foreign Ownership, Control and Influence Cyber threats Insider threats Variable security

432 views • 16 slides
301AA - Advanced Programming Lecturer: Andrea Corradini andrea@di.unipi.it

301AA - Advanced Programming Lecturer: Andrea Corradini andrea@di.unipi.it

301AA - Advanced Programming Lecturer: Andrea Corradini andrea@di.unipi.it h;p://pages.di.unipi.it/corradini/ AP-03 : Languages and Abstract machines, Compila8on and interpreta8on schemes Outline Programming languages and abstract machines

703 views • 33 slides
Hadronic light-by-light scatering from latice QCD Jeremy Green in collaboration with Nils

Hadronic light-by-light scatering from latice QCD Jeremy Green in collaboration with Nils

Hadronic light-by-light scatering from latice QCD Jeremy Green in collaboration with Nils Asmussen, Oleksii Gryniuk, Georg von Hippel, Harvey Meyer, Andreas Nyffeler, Vladimir Pascalutsa, Hartmut Witig Institut fr Kernphysik, Johannes

488 views • 31 slides
Recall the MDP Framework Slightly di ff erent notation this time S : Finite set of states of the

Recall the MDP Framework Slightly di ff erent notation this time S : Finite set of states of the

Recall the MDP Framework Slightly di ff erent notation this time S : Finite set of states of the world About this class A : Finite set of actions Partially Observable Markov Decision Processes T : S A ! ( S ): State transition function.

685 views • 4 slides
Insert Image if Alejandra Meglioli appropriate Senior Program Officer IPPF/WHR World Cancer

Insert Image if Alejandra Meglioli appropriate Senior Program Officer IPPF/WHR World Cancer

From choice, a world of possibilities Taking the Collaboration to Country Level: A UICC IPPF/WHR Example in Central America Insert Image if Alejandra Meglioli appropriate Senior Program Officer IPPF/WHR World Cancer Congress Montreal,

574 views • 10 slides
http://www.mpi-forum.org/ LLNL-PRES-696804 This work was performed under the auspices of the U.S.

http://www.mpi-forum.org/ LLNL-PRES-696804 This work was performed under the auspices of the U.S.

Martin Schulz LLNL / CASC Chair of the MPI Forum MPI Forum BOF @ ISC 2016 http://www.mpi-forum.org/ LLNL-PRES-696804 This work was performed under the auspices of the U.S. Department of Energy by Lawrence Livermore National Laboratory under

1.02k views • 55 slides
Plane Wave DG Methods: Exponential Convergence of the hp -version Andrea Moiola D EPARTMENT OF M

Plane Wave DG Methods: Exponential Convergence of the hp -version Andrea Moiola D EPARTMENT OF M

O XFORD C OMPUTATIONAL M ATHEMATICS AND A PPLICATIONS S EMINAR 15 TH M AY 2014 Plane Wave DG Methods: Exponential Convergence of the hp -version Andrea Moiola D EPARTMENT OF M ATHEMATICS AND S TATISTICS , U NIVERSITY OF R EADING R.

938 views • 54 slides
HEPSYCODE-RTMC: a Real-Time and Mixed Criticality Extensions for a System-Level HWSW Co-Design

HEPSYCODE-RTMC: a Real-Time and Mixed Criticality Extensions for a System-Level HWSW Co-Design

2st Italian Workshop on Embedded Systems (IWES 2017) HEPSYCODE-RTMC: a Real-Time and Mixed Criticality Extensions for a System-Level HWSW Co-Design Methodology Author: Vittoriano Muttillo , Vincenzo Stoico, Daniele Ciambrone, Giacomo Valente,

1.1k views • 52 slides
Access Project 2 nd Access TF meeting 18 December 2017 Introduction Agenda Task Timing

Access Project 2 nd Access TF meeting 18 December 2017 Introduction Agenda Task Timing

Electricity Network Access Project 2 nd Access TF meeting 18 December 2017 Introduction Agenda Task Timing Welcome and introductions 10:00 - 10:05 Ensuring successful task force outcomes 10:05 10:15 Discussion on network topology,

1.05k views • 70 slides

More recommend