...

381KB

by user

on
Category: Documents
6

views

Report

Comments

Description

Transcript

381KB
スマートフォンセキュリティ
2011年10月5日 NSF in Kansai
ラックホールディングス株式会社
ラックホ
ルディングス株式会社
山城 重成
株式会社カスペルスキー
前 典彦
前田
1
Copyright ©2011 Little eArth Corporation Co.,Ltd
目次
スマートフォンのプラットフォーム
ス
トフ ンのプラ トフ ム
スマートフォンマルウェアの実例
アプリケーションの信頼性
不正アプリによる遠隔操作デモ
対策・まとめ
2
Copyright ©2011 Little eArth Corporation Co.,Ltd
スマートフォンプラットフォーム
AndroidiOS
A
d idiOS
iOS
WindowsPhone(旧Windows Mobile)
BlackBerry
Symbian
他 Palm,
Palm Brew....
Brew
3
Copyright ©2011 Little eArth Corporation Co.,Ltd
それぞれの特徴
Android
メーカ
脆弱性対応
インストール方法
インスト
ル方法
アプリ審査
審
4
iOS
Windows Phone
複数
Apple社
複数
メーカに依存
メ
カに依存
Appleが対応
端末・OSメーカ
端末
OSメ カ
Android Market
On The Air
キャリアマーケット
AppStore
MarketPlace
なし
し
あり
あり
Copyright ©2011 Little eArth Corporation Co.,Ltd
スマートフォンセキュリティモデル
BlackBerryモデル
Bl
kB
モデル
• 通信、アプリケーションともにOSメーカーの一元管理をするこ
とでセキュリティを担保
iOS Windows Phoneモデル
iOS・Windows
• OSメーカーのアプリケーション審査によるセキュリティを担保
Androidモデル
• PCと同様に、ユーザにてセキュリティ対策を行う
PCと同様に
ザにてセキ リテ 対策を行う
5
Copyright ©2011 Little eArth Corporation Co.,Ltd
iOS JailBreak
iOSのアプリケ シ ンはア プル社の「電子署名 が必須
iOSのアプリケーションはアップル社の「電子署名」が必須
JailBreakはこの制限を外すことを指す
J ilB kはこの制限を外すことを指す
をす と
JailBreakをすると....
• アップル社が認可してない(しない)アプリケーションをインスト
ール
ル
• 海賊版アプリケーションの動作
• ホーム画面やロック画面をはじめ、UIそのものをカスタマイズ
ホ ム画面やロ ク画面をはじめ UIそのものをカスタ イズ
• などなど
当然、故障時はメーカサポートが一切受けられなくなる
6
Copyright ©2011 Little eArth Corporation Co.,Ltd
Android rooted
root化すると...
t化すると
• テザリングの利用
• フォントやUIのカスタマイズ
フ ントやUIのカスタ イズ
• CPUのクロック操作
• などなど
フォレンジック目的
• メモリダンプ
• /data 領域の参照
7
Copyright ©2011 Little eArth Corporation Co.,Ltd
Jailbreak, root化による影響
マルウェア感染の場合、システム権限で動作し最悪の場合復旧
マルウ
ア感染の場合 システム権限で動作し最悪の場合復旧
不可
• ウイルス対策ソフトによる駆除も困難
• キャリアによる交換・修理対応となる
IMEI等の端末固有情報やOAuth認証情報等が変更が可能
• アプリ開発者はID偽装を考慮しなければならない
8
Copyright ©2011 Little eArth Corporation Co.,Ltd
(参考情報)Android端末における「識別番号」の種類
端末固有情報(IMEI:International
端末固有情報(IMEI
I t
ti
lM
Mobile
bil E
Equipment
i
t Id
Identity)
tit )
• 端末そのものの識別番号
• 端末内のバッテリを外すと書いてあることが多い
端末内のバ テリを外すと書いてあることが多い
加入者識別番号( S
S
加入者識別番号(IMSI:International
Mobile Subscriber
Identity)
• SIMカード内に格納されている識別番号
SIMカ ド内に格納されている識別番号
Android
A
d id ID
• /data/data/com.google.android.googleapps/databases/
accounts db に格納された識別番号
accounts.db
9
Copyright ©2011 Little eArth Corporation Co.,Ltd
スマ トフォンマルウェアの実例
スマートフォンマルウェアの実例
10
Copyright ©2011 Little eArth Corporation Co.,Ltd
Androidアプリケーションの信頼性
11
Copyright ©2011 Little eArth Corporation Co.,Ltd
パーミッション
アプリケーション毎に使える機能を制限する
アプリケ
シ ン毎に使える機能を制限する
• アプリケーションをインストールする際に表示される
„ 画面端末内データへのアクセス
画面端末内デ タ のアクセス
„ インターネットへ通信
設定 変更
„ 設定の変更
„ 電話の発信
• (例)名刺リーダアプリ
„ 名刺画像取り込み→「カメラの利用」
„ アドレス帳へ登録→「連絡先データへの書込」
12
Copyright ©2011 Little eArth Corporation Co.,Ltd
パーミッション確認画面
13
Copyright ©2011 Little eArth Corporation Co.,Ltd
Android Market
アプリケーションの審査は基本的には「無い」
アプリケ
シ ンの審査は基本的には「無い
• 開発者登録の際にクレジットカードカード番号を求めている
開発者は好きなとき、好きなようにアプリケーションを公開できる
中に 「
なも も
• 中には「HelloWorld」なものも...
DroidDream(Rootcager)が組み込まれていたアプリは50種類
以上、アプリによっては20万件以上がダウンロードされた(
http://goo gl/Kd3UV/)
http://goo.gl/Kd3UV/)
14
Copyright ©2011 Little eArth Corporation Co.,Ltd
不正アプリによる
スマートフォン遠隔操作デモ
15
Copyright ©2011 Little eArth Corporation Co.,Ltd
デモ概要
① URLを含む
メ ルを受信
メールを受信
攻撃者が用意した
Webサーバ
② アクセス
③ ボットアプリをインストール
④ 遠隔操作
16
Copyright ©2011 Little eArth Corporation Co.,Ltd
対策 まとめ
対策・まとめ
17
Copyright ©2011 Little eArth Corporation Co.,Ltd
対策 キャリア編
リモ トロ クサ ビス
リモートロックサービス
キャリアマーケット
キ リア
ケ ト
• au one market→KDDI研究所によるセキュリティチェック
メールスキャン
• docomo→spモードのメールにウイルススキャン
ウイルス対策ソフトの提供
• au→TrendMicro社製品をオプション提供
• docomo→McAfee社製品を無償提供
• SoftBank→McAfee社製品をオプション提供
18
Copyright ©2011 Little eArth Corporation Co.,Ltd
対策 個人編
ウイルス対策ソフトのインスト ル
ウイルス対策ソフトのインストール
インストール予定のアプリケーションのレビューを確認し、信頼で
インスト ル予定のアプリケ シ ンのレビ
を確認し 信頼で
きるか判断
キャリアマーケットの利用
インストール時に表示されるアクセス許可の一覧を確認
USBデバッグの無効化
19
Copyright ©2011 Little eArth Corporation Co.,Ltd
まとめ
今のスマートフォンセキュリティは課題が多く、Androidに至っては
今のスマ
トフ ンセキ リテ は課題が多く A d idに至 ては
利用者自身によるセキュリティ対策が必須
とはいえ、難しいことをする必要もなく
端末内のアプリケ ションやOSそのもののバ ジョンアップを
• 端末内のアプリケーションやOSそのもののバージョンアップを
欠かさず行う
• ウイルス対策ソフトをインストールする
• アプリケーションは正規の手段、正規のものをインストールする
• 興味本位でJailBreak、rootedを行わない
興味本位でJailBreak rootedを行わない
万が に備え クラウドサ ビスを活用する
万が一に備え、クラウドサービスを活用する
企業ではMDM(Mobile Device Management)を活用する
20
Copyright ©2011 Little eArth Corporation Co.,Ltd
Fly UP