security threats and mi0ga0ons for ios developers
play

Security threats and mi0ga0ons for iOS developers Emil - PowerPoint PPT Presentation

Apr 22, 2023 •104 likes •440 views

Security threats and mi0ga0ons for iOS developers Emil Kvarnhammar www.truesecdev.com Twi=er: @emilkvarnhammar Isnt iOS secure? Q1 2014 : goto fail; Q4

  1. Security ¡threats ¡and ¡mi0ga0ons ¡ for ¡iOS ¡developers ¡ Emil ¡Kvarnhammar ¡ www.truesecdev.com ¡ Twi=er: ¡@emilkvarnhammar ¡

  3. Isn’t ¡iOS ¡secure? ¡

  4. Q1 ¡2014 ¡: ¡goto ¡fail; ¡

  5. Q4 ¡2014 ¡: ¡Wirelurker ¡(Masque ¡a9acks) ¡

  6. Q2 ¡2015 ¡: ¡New ¡Masque ¡A9acks ¡

  7. Q3 ¡2015 ¡: ¡AirDrop ¡vulnerability ¡

  8. Q3 ¡2015 ¡: ¡Xcode ¡Ghost ¡

  9. Xcode ¡Ghost ¡

  10. From ¡an ¡a=acker’s ¡point ¡of ¡view ¡

  11. What’s ¡of ¡interest? ¡ • ExtracMng ¡app ¡data ¡ – Creden0als, ¡Documents, ¡Email ¡etc. ¡ • Execute ¡code ¡ – Impersonate ¡legi0mate ¡apps ¡ – Steal ¡app ¡data ¡ – Phishing ¡(creden0als, ¡credit ¡card ¡details ¡etc.) ¡ – Command ¡& ¡Control ¡(botnets ¡etc.) ¡

  12. What ¡are ¡the ¡security ¡mechanisms? ¡

  13. What ¡are ¡the ¡security ¡mechanisms? ¡ 1. ¡App ¡store ¡review ¡

  14. What ¡are ¡the ¡security ¡mechanisms? ¡ 2. ¡Mandatory ¡code ¡signing ¡

  15. Used ¡to ¡bypass ¡app ¡store ¡review! ¡

  16. What ¡are ¡the ¡security ¡mechanisms? ¡ 3. ¡Sandboxing ¡

  17. Sandboxing ¡ • Enforced ¡by ¡plaXorm ¡ • Break-­‑out ¡vulnerabili0es ¡in ¡almost ¡all ¡versions ¡ – Used ¡by ¡jailbreaks ¡ – App ¡store ¡is ¡an ¡extra ¡safety ¡net ¡ • Cross-­‑app ¡access ¡ – Extensions ¡ – Custom ¡URI ¡scheme ¡

  18. What ¡are ¡the ¡security ¡mechanisms? ¡ 4. ¡Data ¡protec0on ¡(at ¡rest) ¡

  19. Data ¡protec0on ¡ • Default ¡encryp0on ¡since ¡iOS ¡8 ¡(if ¡passcode ¡set) ¡ – NSFileProtec0onComplete* ¡flags ¡ • A=acks ¡ – Backups ¡(iCloud ¡or ¡iTunes) ¡ – Jailbreak ¡ – Masque ¡a=acks ¡

  20. Preven0ng ¡backup ¡of ¡file ¡ BOOL ¡success ¡= ¡[URL ¡setResourceValue: ¡[NSNumber ¡numberWithBool: ¡YES] ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡forKey: ¡NSURLIsExcludedFromBackupKey ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡error: ¡&error]; ¡ h=ps://developer.apple.com/library/ios/qa/qa1719/_index.html ¡

  21. Keychain ¡items ¡ Use ¡*ThisDeviceOnly ¡access ¡keys ¡ ¡ Example: ¡kSecA=rAccessibleAperFirstUnlockThisDeviceOnly ¡ ¡

  22. What ¡are ¡the ¡security ¡mechanisms? ¡ 5. ¡App ¡Transport ¡Security ¡

  23. SSL/TLS ¡ AuthenMcity ¡ ConfidenMality ¡ Integrity ¡ Cert ¡is ¡validated ¡against ¡ trusted ¡CA ¡certs ¡in ¡client ¡ Client ¡ Server ¡ Client ¡Hello ¡ Server ¡Hello, ¡Cer0ficate ¡etc. ¡ Client ¡Key ¡Exchange ¡etc. ¡ Change ¡Cipher ¡Spec ¡ Applica0on ¡data ¡

  24. App ¡Transport ¡Security ¡ • Enforces ¡best ¡prac0ces ¡for ¡server ¡connec0ons ¡ – h=ps ¡only ¡ – Only ¡trusted ¡cer0ficates ¡ – TLS ¡version ¡1.2, ¡with ¡forward ¡secrecy ¡ ¡ ¡ ] ¡ ¡ ¡ ! t Developers ¡must ¡explicitly ¡opt-­‑out ¡ u o -­‑ t p o ¡ t ’ n o D ¡ ¡ [

  25. More ¡regarding ¡SSL/TLS… ¡ • Cert ¡pinning ¡is ¡recommended ¡ – Validate ¡cer0ficate ¡chain ¡ – Validate ¡that ¡cert ¡corresponds ¡to ¡host ¡name ¡ • If ¡you ¡use ¡AFNetworking… ¡ – Your ¡app ¡might ¡be ¡vulnerable ¡to ¡MiTM ¡a=tacks ¡ – Update ¡to ¡latest ¡version ¡

  26. Time ¡for ¡demos… ¡

  27. Masque ¡a=acks ¡ • App ¡Masque ¡ • URL ¡Masque ¡ • Extension ¡Masque ¡ • …and ¡more ¡ ¡ h=ps://www.fireeye.com/blog/threat-­‑research/2015/06/three_new_masquea=.html ¡

  28. Injec0ng ¡code ¡in ¡Xcode ¡ • Steal ¡Apple ¡ID ¡developer ¡account ¡ • Inject ¡code ¡in ¡apps ¡

  29. Summary ¡

  30. Summary ¡ • Several ¡great ¡security ¡mechanisms ¡in ¡iOS ¡ • …but ¡also ¡vulnerabili0es ¡ – Apps ¡can ¡be ¡replaced ¡ – App ¡data ¡can ¡be ¡stolen ¡ • A=ackers ¡a=ack ¡your ¡developer ¡machines ¡ – Patch ¡ – Encrypt ¡ – Be ¡careful ¡what ¡“tools” ¡you ¡are ¡downloading ¡

  31. Full ¡day ¡about ¡security ¡for ¡developers: ¡ h=p://oredev.org/2015/security-­‑day ¡ Emil ¡Kvarnhammar ¡ www.truesecdev.com ¡ Twi=er: ¡@emilkvarnhammar ¡

Recommend

CPSC410/611: Security Security Security Attacks Security Threats Crypto

CPSC410/611: Security Security Security Attacks Security Threats Crypto

CPSC 410 / 611 : Operating Systems CPSC410/611: Security Security Security Attacks Security Threats Crypto Authentication Examples SSL Security Threats Breach of confidentiality unauthorized access to

458 views • 18 slides
Module 20: Security The Security Problem Authentication Program Threats System

Module 20: Security The Security Problem Authentication Program Threats System

Module 20: Security The Security Problem Authentication Program Threats System Threats Threat Monitoring Encryption Silberschatz and Galvin 1999 Operating System Concepts 20.1 The Security Problem Security must

155 views • 11 slides
Module 19: Security The Security Problem Authentication Program Threats System

Module 19: Security The Security Problem Authentication Program Threats System

Module 19: Security The Security Problem Authentication Program Threats System Threats Securing Systems Intrusion Detection Encryption Windows NT Operating System Concepts Silberschatz, Galvin and Gagne 2002

425 views • 9 slides
Integrated Security Curriculum Conceptions of SECURITY RISK THREATS TECH VALUES The Big

Integrated Security Curriculum Conceptions of SECURITY RISK THREATS TECH VALUES The Big

5/18/2017 Integrated Security Curriculum Conceptions of SECURITY RISK THREATS TECH VALUES The Big Picture: Integrated Security Pathways Cyber Security ISERC Student portal National Security Studies CAPSTONE: Gateway course Peace Studies

298 views • 3 slides
Com puter Security - Part Three Last tim e Multilevel and multilateral security Threats

Com puter Security - Part Three Last tim e Multilevel and multilateral security Threats

Com puter Security - Part Three Last tim e Multilevel and multilateral security Threats Security policies Confidentiality Policies Policy The Bell-LaPadula Model Specification Integrity Policies The Biba

698 views • 49 slides
Introduction What I do Research new vulnerabilities, malware, and other security threats

Introduction What I do Research new vulnerabilities, malware, and other security threats

Introduction What I do Research new vulnerabilities, malware, and other security threats Create defensive measures Evaluate security software What this talk is about Windows rootkits How they are used How they work

790 views • 54 slides
Roadmap for Section 7.1 The Security Problem - a Definition Program & System Threats

Roadmap for Section 7.1 The Security Problem - a Definition Program & System Threats

Unit OS7: Security 7.1. The Security Problem Windows Operating System Internals - by David A. Solomon and Mark E. Russinovich with Andreas Polze Roadmap for Section 7.1 The Security Problem - a Definition Program & System Threats Security

518 views • 6 slides
Com puter Security Part Tw o Previously Introduction Threat analysis Threats

Com puter Security Part Tw o Previously Introduction Threat analysis Threats

Com puter Security Part Tw o Previously Introduction Threat analysis Threats Policy Specification Design Implementation Operation and Maintenance Now Multilateral and Multilevel security Security policies

355 views • 24 slides
One Resilience Noel L.J. Miranda, Bio-security/Bio-threats Preparedness Consultant ARF

One Resilience Noel L.J. Miranda, Bio-security/Bio-threats Preparedness Consultant ARF

Bio-security and -preparedness within One Resilience Noel L.J. Miranda, Bio-security/Bio-threats Preparedness Consultant ARF CROSS-SECTORAL SECURITY COOPERATION ON BIO-PREPAREDNESS AND DISASTER RESPONSE WORKSHOP 26-28 August 2014, Makati City,

446 views • 19 slides
===!" Laboratories Security threats Bots by numbers the botnet owners in

===!" Laboratories Security threats Bots by numbers the botnet owners in

Securing the I nternet Threats, Trends and Tussles Dr. Roger P. Karrer Senior Research Scientist Deutsche Telekom Laboratories TU Berlin Berlin, Germ any Deutsche Telekom ===!" Laboratories Security threats Bots by numbers

131 views • 11 slides
Responding to Emerging Threats to Energy Security and Stability (Luncheon Speech, January

Responding to Emerging Threats to Energy Security and Stability (Luncheon Speech, January

Emerging Threats to Energy Security and Stability NATO Advanced Research Workshop January 23 to January 25, 2004 - St. Georges House, Windsor Castle, UK Responding to Emerging Threats to Energy Security and Stability (Luncheon Speech,

498 views • 8 slides
Com puter Security Last tim e Introduction Threat analysis Threats Introduction

Com puter Security Last tim e Introduction Threat analysis Threats Introduction

Com puter Security Last tim e Introduction Threat analysis Threats Introduction to access control Policy matrix Specification Design Implementation Operation and Maintenance Security in the Course Lectures

784 views • 40 slides
Com puter Security Part Four Last tim e Cryptography Authentication Threats

Com puter Security Part Four Last tim e Cryptography Authentication Threats

Com puter Security Part Four Last tim e Cryptography Authentication Threats Key Management KDC Policy Symmetric keys Specification Asymmetric keys PKI Design Security Protocols Kerberos

617 views • 39 slides
17Nov19 Information Security Essentials Recognizing Threats in Your Daily Routine This

17Nov19 Information Security Essentials Recognizing Threats in Your Daily Routine This

17Nov19 Information Security Essentials Recognizing Threats in Your Daily Routine This module will teach you what is information security, how to identify and avoid potential security risks in the workplace and beyond. 1 Introduction

406 views • 7 slides
Survey on Security Threats and Protection Mechanisms in Embedded Automotive Networks Ivan

Survey on Security Threats and Protection Mechanisms in Embedded Automotive Networks Ivan

The Automotive Network Threats Protection mechanisms Conclusion Survey on Security Threats and Protection Mechanisms in Embedded Automotive Networks Ivan Studnia Vincent Nicomette Eric Alata Yves Deswarte Mohamed Ka aniche Renault

752 views • 40 slides
Defence Industry Security Program May 2019 2 Security Environment Corporate Espionage

Defence Industry Security Program May 2019 2 Security Environment Corporate Espionage

Defence Industry Security Program May 2019 2 Security Environment Corporate Espionage Foreign Espionage and Interference Foreign Ownership, Control and Influence Cyber threats Insider threats Variable security

432 views • 16 slides
Outline A taxonomy of CR security threats Primary user emulation attacks Cognitive Radio

Outline A taxonomy of CR security threats Primary user emulation attacks Cognitive Radio

10/25/19 Outline A taxonomy of CR security threats Primary user emulation attacks Cognitive Radio Network Security Byzantine failures in distributed spectrum sensing Security vulnerabilities in IEEE 802.22 Yao Zheng 1 2

383 views • 7 slides
Privacy & Information Security Tackling Trends & Threats December 12, 2014 Norma A.

Privacy & Information Security Tackling Trends & Threats December 12, 2014 Norma A.

Privacy & Information Security Tackling Trends & Threats December 12, 2014 Norma A. Chitvanni RHIT, CHPS nchitvan@bidmc.harvard.edu Agenda Omnibus Rule Pay Out of Pocket 2013 Mobile clinical equipment Email security

102 views • 8 slides
Addressing the threats of IoT Hans de Jong Technology Lead for Security Innovation & Fellow

Addressing the threats of IoT Hans de Jong Technology Lead for Security Innovation & Fellow

Addressing the threats of IoT Hans de Jong Technology Lead for Security Innovation & Fellow Head of NXP Product Security Incident Response Team (NXP PSIRT) NXP Semiconductors, Eindhoven # dSymp dcypher Symposium 2017 | Oct 4th Media Plaza

354 views • 20 slides
Crypto Currency Security from the Frontlines Hedge Funds, Nation State Threats & T echnical

Crypto Currency Security from the Frontlines Hedge Funds, Nation State Threats & T echnical

Crypto Currency Security from the Frontlines Hedge Funds, Nation State Threats & T echnical Security Approaches Adam Healy, CISO State of Crypto Asset Security 2016 Market Capitalization NASDAQ 1 ~$7.8 trillion London Stock Exchange 1

291 views • 12 slides
ICA ICA ICA Self-Defending Networks Digital antibodies neutralize threats

ICA ICA ICA Self-Defending Networks Digital antibodies neutralize threats

ICA ICA ICA Self-Defending Networks Digital antibodies neutralize threats Automatically responds to threats faster than any security team can Takes measured, targeted actions Does not disrupt day-to-day business or

169 views • 5 slides
Security, Auditability, and Threats: The VVSG2007 Security Architecture Presentation for the

Security, Auditability, and Threats: The VVSG2007 Security Architecture Presentation for the

Technical Guidelines Development Committee Meeting December 4 and 5, 2006 Security, Auditability, and Threats: The VVSG2007 Security Architecture Presentation for the Technical Guidelines Development Committee (TGDC) John Kelsey Dec 4/ 5,

292 views • 18 slides
ITU- Arab Regional Cyber Security Centers Activities & Regional Threats landscape ENG.

ITU- Arab Regional Cyber Security Centers Activities & Regional Threats landscape ENG.

ITU- Arab Regional Cyber Security Centers Activities & Regional Threats landscape ENG. BADAR ALI ALSALEHI HEAD OF ITU-ARAB REGIONALCYBER SECURITY CENTER DG OF OMAN NATIONAL CERT Dar es Salaam November - 2017 2 3 2014 2015 April-

909 views • 29 slides
Cyber-Physical Systems Security IECE 553/453 Fall 2019 Prof. Dola Saha 1 Security Threats

Cyber-Physical Systems Security IECE 553/453 Fall 2019 Prof. Dola Saha 1 Security Threats

Cyber-Physical Systems Security IECE 553/453 Fall 2019 Prof. Dola Saha 1 Security Threats in the IoT Cyber attack on the Ukrainian power grid Power outage caused by hackers Security in the IoT is essential, not just for information

1.21k views • 76 slides

More recommend