http://www.paug.fr

1. Android et
SEMINAIRE
Sécurité des de la Volonière
Châteaux communications
Présentation GENYMOBILE
25 Juillet 2012

2. Agenda
FORMATION
Terminologie
Biens à
protéger
Menaces
Preuve par
l'exemple
Contre-mesures

3. Terminologie
FORMATION

4. Communications
FORMATION
Biens à protéger
Confidentialité Intégrité
Informations
échangées
Disponibilité

5. Menaces
FORMATION

6. Menaces
FORMATION
Divulgation :

Interception sur le terminal Android

Interception proxy

Interception par écoute réseau

Interception sur le serveur (ou le pair)
Modification :

Interception sur le terminal Android

Interception proxy

Interception sur le serveur (ou le pair)
Déni de service :

Flood terminal Android ou serveur

Exploitation faille application Android ou serveur

7. « Réponse classique »
FORMATION
SSL
Chiffrement de bout en bout
Le chiffrement « de bout en bout » assure une
protection vis à vis des attaques visant à
intercepter le contenu...

8. …ou pas
FORMATION
Tout dépend du mécanisme de
gestion des clés, particulièrement de
la gestion des certificats racines
Le niveau de sécurité de la communication
dépend de la protection du keystore contenant
les certificats racine.
Android <4.0 : Nécessité d'être root pour ajouter un
certificat racine
Android >=4.0 : Liste des certificats racines accessible
depuis les paramètres système

9. Exemple : Interception
FORMATION
« Google Check-in »

Installation d'un certificat racine « fake » sur
le terminal Android

Mise en place d'une solution d'interception de
requêtes HTTP/HTTPS via redirection vers un
proxy transparent [SQUID] qui envoie le
contenu vers un serveur ICAP [C-ICAP]

Le proxy transparent génère à la volée un faux
certificat serveur signé par le certificat racine
« fake », ce qui lui permet ensuite de décoder
les requêtes reçues

Le serveur ICAP stocke les informations reçues
pour analyse

10. Exemple : Interception
FORMATION
« Google Check-in »
1: "352XXXX4131XXXX" (IMEI : my tablet 'phone ID')
2: 352XXXX992470XXXX65 (Android ID : unique Android terminal ID)
3: "KfblIp3D9a3TzIxvjI4Ncw==" (value of 'digest' in table 'main' of
/data/databases/com.google.android.gsf/services.db)
4 {
1 {
1: "samsung/GT-P1000/GT-P1000/GT-P1000:2.2/FROYO/BUJI4:user/release-keys"
2: "GT-P1000" (device model)
3: "samsung" (device manufacturer)
4: "unknown"
5: "unknown"
6: "android-hms-vf-fr"
7: 1285664195 (date : Tue, 28 Sep 2010 08:56:35 GMT)
8: 8
9: "GT-P1000" (device model)
}
2: 1293573920130 (seems to be a date followed by ‘130’ : Tue, 28 Dec 2010 22:05:20 GMT)
6: "20810" (MNC that identifies the telco - here SFR)
7: "20810" (MNC that identifies the telco - SFR)
8: "mobile-notroaming"
}
6: "fr_FR"
7: 6482298392203156173 (in Hexa : 59F5C00C6DC0F - value of 'logging_id2' of table 'partner' in
/data/databases/com.google.android.gsf/googlesettings.db)
9: "BC4760XXXX2B" (WIFI adapter MAC address)
11: "[dv0XXXX@gmail.com]" (the Google account I've configured on the tablet)
11: "DQAAAHwAAADfx4A26--_sWF8..." (SID linked to the Google account)
12: "Europe/Paris" (Timezone)
13: 0x2fXXXX7XXXXbc3b1 (“securityToken”)
14: 2
15: "1Z5kM2XXXXX4hPRXXXX/Roh/A8E="

11. Conclusion
FORMATION
Biens/Menaces/Objectifs
→ Contre-mesures
SSL : Attention à la gestion des
clés !!!

12. MERCI !
Questions ?
Présentation GENYMOBILE
Daniel Fages
dfages@genymobile.com