Конспект доклада - Андройд - ликбез по безопасности

Конспект доклада - Андройд - ликбез по безопасности

сегодня мобильные систем всё более популярны, что это повлекло за собой:
1) взлом корпоративки через мобильные девайся

в будущем у нас будет долад по "вай-фай"

Для компании важно сохранить инфу - украсть же мобильное устройство весьма просто.

ОБщие принципы защиты -
как и всегда выключаем все неиспользуемые компоненты.

Архитектура Андройд.

Андройд состоит:

• 1) ядро
• 2) прослойка
• 3) приложения

Андрой начинал разрабатываться на базе ядра линукс.
Ядро находится под юрисдикцией GPL

Под андройд - системные задачи - реализуют на Си Си++ - где памятью управляют "вручную"

Но есть и среда разработки ява приложений.

Каждое приложение выполняется грубо говоря в "песочнице"

Как подошли к разграничению доступа?
Стали создавать кучу пользователей - одно приложение - один пользователь.
Также есть группы пользователей.

Один и тот же разраб. может под одного пользователя добавить несколько приложений.

Как определить - может лит приложение иметь доступ к камере?
Просто есть группа пользователей которые имеют доступ - если приложение работает из под
такого пользователя, то всё ОК.

Есть настройки:
1) запускать ли приложения - которые не с гугл плэй
и кое что-то ещё

ПРОЦЕСС ЗАГРУЗКИ

Андройд загружается так:
Есть папки систем - доступная только для чтения - там системный код -
таким образом защитились от модификаций ядра
1) загрузчик - бутлодер (также есть "рекавери режим" - то есть восстановления) - бутлодер же для ностройки по умолчанию не доступен.
Перезагружается андройд довольно долго.

После запуска всех демонов запускается андройд-машина (ява) ,которая
запускает другие приложения -
то есть когда мы включили андройд все прилаги лезут в инет.

Соответствующие менеджеры активности тоже начинают работать.
Движемся далее.

ПРАКТИЧЕСКИЕ СОВЕТЫ.

"Уязвимости"
1_ Кража устройства -
что надо сделать:
1) поставить пароль
но проблема в том, что мобильное устройство должно быть "мобильным" - а потому ставить пароль
часто бывает просто лень.
Графические ключи - на практике - чтобы быстро им пользоваться приходится установить простую
комбинацию - или же надо 10 лет тренироваться чтобы что-то серьёзное поставить на
графический пароль.

Но есть хороший способ - шифрование, - всего жёсткого диска.
МОжно создать отдельный шифруемый раздел диска.

Интересно было бы услышать о том как можно вытянуть ключ
и расшифровать после кражи устройства

Также большая опасность связана с приложениями - которые могут тупо воровать информацию-

Часто разрабы стараются выдать максимум прав всем прогам - свои в смысле)
"РАсрешить из неизвестных источников" - надо убирать когда мы не устанавливаете ничего сами.
чтобы безобидные проги не подгрузили что-то небезопасное.

АНИТИВИРУСЫ

Самозакачивающийся вирус например можно было заметить только с помошью антивирусной программы.

Ставить полезно те, которые контролируют смс, и контролируют работу с номерами, а также
выход в интернет

Ещё о приложениях

Кроме "вирусов", которые "тыбзят" данные - существуют ещё любители прослушивать сеть
При этом не стоит забывать про i2p и tor
i2p правда для аднройда нормального нет, но есть ТОР
Вообще по хорошему надо вырубать возможность обычного интернета на уровне драйверов

РУТ - полный доступ к устройству.

Слежка через мобильники уже не новость.

Что даёт полный доступ(рут):
1) максимально контролировать приложения - не давать им доступ в сеть
2) мы сами оставляем в интернете куча инфы - есть приложения которые отслеживают перемещения -
просто даже добровольно.
Итак рут доступ позволяет вам отвязаться от гугла - и начать жить свободно.

Потом некоторые приложения - типа заметок гугл хотят постоянно лезть в сеть.

Но производители не очень любят рут - не все точнее.
Например Сони и Самсунг лишают гарантии - но сами дают утилиту для рута.

ВЫВОДЫ:

не оставляйте телефон в общественных местах))

Последнее время производители всё более затягивают пользователей в свою инфраструктуру.
Так гугл глас по лицензии нельзя будет отдавать родственникам.

Лицензионное соглашение:
"Мы оставляем за собой право перепрошить ваше сознание в случае обнаружения в нём
вредоносного кода"

надо брать пример с файерфокс - разрабатывать безопасные вещи - готовые для не ИТ-народа