Apple iPhone und iPadim Unternehmen

Ronny Sackmannronny.sackmann@cirosec.de

Agenda

• Einführung

• Technische Grundlagen

• Integrierte Schutzfunktionen

• Bedrohungen

• Sicherheitsmaßnahmen

• Zentrale Verwaltungswerkzeuge

• Zusammenfassung

Referent

• Ronny Sackmann

– IT-Sicherheitsberater

– cirosec GmbH

• Schwerpunkte der Tätigkeit

– Sicherheitsüberprüfungen, Penetrationstests

– Network Access Control

– Privileged Identity Management

– iPhone/iPad-Sicherheit

– Schulung HE Gegenmaßnahmen

Einführung

Typische Anwendungsszenarien

• Mobile Nutzung von PIM-Funktionen

– Email, Kalender, Kontakte

– Notizen, Aufgaben (ggf. Zusatz App)

• Mobile Nutzung von Business Applikationen

– SAP, CRM, Projektmanagement

– etc.

• Voice Recorder, Surfen, Wetterbericht, Aktienkurse, Navigation

• Restaurantführer, Spiele, …

• usw.

Unternehmensnetz

Infrastruktur

Applikationsserver

Mailserver

Firewall

AccessPoint

GSM /UMTS

ÖffentlicherHot Spot

Mobil-funknetz

DMZ

WLAN

Firewall Firewall

WLAN

Proxy

VPNKonzentrator

Konsequenzen

• Sensitive Unternehmensinformationen werden

– über potentiell unsichere Netzwerke übertragen

– und oftmals lokal auf dem Gerät gespeichert

• Zugangswege ins Unternehmensnetz (WLAN, VPN, ActiveSync etc.) werden

– für das iPhone und iPad freigeschaltet

– lokal auf dem Gerät gespeichert

Was wird noch gespeichert?

<string>http://www.heise.de/</string>

<key>lastVisitedDate</key><string>305536673.6</string>

<key>VisitCount</key><integer>1</integer>

Was wird noch gespeichert?

Was wird noch gespeichert?

Was wird noch gespeichert?

Technische Grundlagen

Hardware

Model iPhone3G

iPhone3GS

iPhone4

iPad

ProzessorSamsung ARM RISC (412 MHz)

Samsung ARM Cortex-A8 (600 MHz)

Apple A4ARM Cortex-A8(1 GHz)

Apple A4ARM Cortex-A8(1 GHz)

Baseband X-Gold 608 X-Gold 608 X-Gold 618 X-Gold 608

RAM 128 MB 265 MB 512 MB 256 MB

Speicher 8/16 GB 8/16/32 GB 16/32 GB 16/32/64 GB

Betriebssystem

• Anwendungsprozessor: iOS

– Für den mobile Einsatz angepasstes Mac OS X

– Ursprünglich für das iPhone entwickelt

– Um zusätzliche Funktionen wie Multi-Touch erweitert

• Baseband:

– iPhone 3G, 3GS: Nucleus

– iPhone 4: ThreadX

Datenspeicher

• Solid State Disk (NAND-Flash)

• Dateisystem HFS+

• Zwei logische Partitionen

– Systempartition (read-only)

– Userpartition

Systempartition

• Systempartition enthält das Betriebssystem, Bibliotheken und vorinstallierte Anwendungen

– Dienste (BlueTooth, Upnp, …)

– Standard-Apps (Safari, Mail, Taschenrechner, …)

– etc.

• Im Betrieb nur lesender Zugriff möglich

• Schreibzugriff nur temporär im Rahmen von Firmware Upgrades

Userpartition

• Speichert sämtliche Benutzerdaten und nachträglich installierte Anwendungen– Fotos, Videos, Musik …

– Einstellungen, Bookmarks …

– Apps

• Daten werden vorwiegend in SQLite-Datenbanken gespeichert

• Für Benutzer und Apps begrenzt schreibbar (Sandbox-Mechanismus)

Keychain

• Passwort-Managementsystem von Apple

• Einzelne Anwendungen können Daten in der Keychain ablegen

• Daten werden in einer SQLite-Datenbank gespeichert – keychain-2.db

• Daten innerhalb der Keychain sind seit iOS 4 durch die Data Protection geschützt

Betriebsmodi

• Normal Mode

• Device Firmware Upgrade Mode (DFU)

• Recovery Mode

Bootvorgang: Normal Mode

Secure Bootloader

Low Level Bootloader

(LLB)iBoot Kernelcache System

Bootvorgang: Recovery Mode

Secure Bootloader

Low Level Bootloader

(LLB)iBoot

RecoveryMode

Bootvorgang: DFU Mode

DFU

Bootvorgang: DFU -> Restore Mode

DFU iBSSRestoreRAMDisk

KernelcacheRestoreLive-

Umgebung

Integrierte Schutzfunktionen

Chain of Trust

Sicherheitsmechanismen

• Kombination von Sicherheitsmechanismen zum Schutz gegen Code Injection und „Fehlfunktionen“ von Apps

– eXute Never-Bit (XN-Bit)

– Code Signing

– Sandbox-Mechanismus

– ABER: kein ASRL(Address Space Layout Randomization)

XN-Bit

• Hardwareseitiger Schutz für ARM-Architekturen um die Ausnutzung von Softwareschwachstellen zu erschweren

• XN-Bit markiert Stack und Heap als nicht ausführbar

• Zusätzlich wird sichergestellt, dass keine Speicherseiten RWX-Berechtigungen besitzen(W^X Policy)

• Code Injection nicht einfach möglich

Code Signing

• Alle Programme und Bibliotheken müssen zur Ausführung auf dem iPhone / iPad mit einem Zertifikat von Apple signiert sein

• Signatur wird bei jedem Start von Programmen / Laden von Bibliotheken überprüft

• Es wird nur von Apple signierter Code ausgeführt

Sandbox-Mechanismus

• Mandatory Access Control (MAC)basierend auf TrustedBSD Framework

• Seatbelt Kernel Extension (vergleichbar mit Linux Security Module)

• Limitierung des Zugriffs auf bestimmte Systemressourcen

– Dateisystem, Netzwerk etc.

• Isolation von Anwendungen

ASLR

• Address Space Layout Randomization

• Adressbereiche des Speichers werden zufällig vergeben

• Technik um die Ausnutzung von Softwareschwachstellen zu erschweren

• Auf dem iPhone / iPad nicht implementiert

Folge …

• Aufgrund fehlender Speicherverwürfelung(ASLR) können Softwareschwachstellen mittels „Return Oriented Programming“-Technik ausgenutzt werden

• Beispiele:

– Safari-Exploit von Ralf Philipp Weinmann und Vincenzo Iozzo

– Userland-Jailbreak in Version 4.0.1

Folge …

• Aufgrund fehlender Speicherverwürfelung(ASLR) können Schwachstellen mittels „Return Oriented Programming“-Technik ausgenutzt werden

• Beispiele:

– Safari-Exploit von Ralf Philipp Weinmann und Vincenzo Iozzo

– Userland-Jailbreak in Version 4.0.1

Folge ...

• Aufgrund fehlender Speicherverwürfelung(ASLR) können Schwachstellen mittels „Return Oriented Programming“-Technik ausgenutzt werden

• Beispiele:

– Safari-Exploit von Ralf Philipp Weinmann und Vincenzo Iozzo

– Userland-Jailbreak in Version 4.0.1

Apple Data Protection

• Eingeführt mit iOS 4

• Verschlüsselung von

– Solid State Disk

– Anwendungsdaten

– Keychaindaten

Verschlüsselung des Datenträgers

• Hardwarebasierte Verschlüsselung der Solid State Disk (SSD)

• AES 256-Bit Verschlüsselungsalgorithmus

• Transparente Verschlüsselung

– Keine Pre-Boot Authentisierung

Zur Laufzeit stehen die Daten im Klartext zur Verfügung

– Auch für Spionage Apps / Schadcode / RAMDisk

Data Protection in iOS 4

• Verfügbar auf dem

– iPhone 3GS, iPhone 4, iPad

• Verschlüsselung von

– Emails, Email-Anhängen

– Keychain-Daten

– Eigenen Anwendungsdaten mittels API

Data Protection in iOS 4

• Bei Vergabe einer Codesperre aktiv

• Passcode des Benutzer fließt in Schlüsselberechnung mit ein

• Während des Bootvorgangs und im gesperrten Zustand sind die Daten verschlüsselt

• Mehr Infos: Apple WWDC 2010, Session 209

Bedrohungen

Spyware / iOS Anwendungen

Softwareschwachstellen

Manipulierter Klingelton ermöglicht das Ausführen von Schadcode

Beispiele für Schwachstellen in 2010

Zugriff auf Benutzerdaten per USB durch Race Conditon

Ausführen beliebigen Codes durch präparierte HTML-Seite

Ausführen beliebigen Codes durch präparierte JPEGs

Ausführen beliebigen Codes im Rahmen des URL-Handling

DMZ

Mitlesen der Kommunikation

Unternehmensnetz

Applikationsserver

Mailserver

Firewall

ÖffentlicherHot Spot

Firewall Firewall

WLAN

Proxy

VPNKonzentrator

Zugriff auf iTunes-Backups

Zugriff auf iTunes-Backups

Zugriff auf iTunes-Backups

Zugriff auf iTunes-Backups

=SHA1(HomeDomain-Library/SMS/sms.db)

=SMS-Datenbank

Dateinamen auf dem Apple-Gerät?

• Apple Backupdatenbank manifest.mbdb

WirelessDomain-Library/CallHistory/call_history.db

HomeDomain-Library/SMS/sms.db

Zugriff auf iTunes-Backups

Zugriff auf iTunes-Backups

Zugriff auf iTunes-Backups

Zugriff auf iTunes-Backups

Zugriff auf iTunes-Backups

Zugriff auf iTunes-Backup

Live-Hacking

Physikalischer Zugriff auf ein Apple Gerät …

Sicherheits-maßnahmen

Technische Mindestanforderungen

• Hardware:

– Mind. iPhone 3GS, iPhone 4, iPad

– Begründung: AES-Verschlüsselung

• Software:

– iOS 4 oder neuer

– Begründung: Data Protection, Mobile Device Mangement

Zugriffsschutz

Verschlüsselung von Daten

• Derzeit nur Daten der iPhoneMail-Applikation

• Verschlüsselung eigener Daten muss explizit aktiviert werden:

– Verwendung der Apple Data Protection API

– Implementierung eigener Verschlüsselung

Verschlüsselung von Backups

• Auf Wunsch speichert iTunes die Backups verschlüsselt– AES mit 256 Bit Schlüssel

• Verschlüsselung erfolgt mit Hilfe eines Benutzerpassworts

Sicherheit abhängig vom Kennwort

• Zahlreiche Tools zum Knacken der Passwörter verfügbar– Elcomsoft Phone Password Breaker

Verschlüsselung von Backups

• Auf Wunsch speichert iTunes die Backups verschlüsselt– AES128 mit 256 Bit Schlüssel

• Verschlüsselung erfolgt mit Hilfe eines Benutzerpassworts

Sicherheit abhängig vom Kennwort

• Zahlreiche Tools zum Knacken der Passwörter verfügbar– Elcomsoft Phone Password Breaker

Softwareaktualisierungen

• Betriebssystem

– Kein Update Service wie bei Mac OS X

– Vollständiges Firmware-Upgrade

– Erfordert den Anschluss an einen PC mit aktuellem iTunes

• Anwendungen

– Mittels Apple App-Store

– Mobile Device Management

Selbstverständlich sollte sein…

• Verschlüsselung der Kommunikation

• Starke Authentifizierung

• Schutz der Netzwerkzugänge

• Härtung exponierter Systeme

• …

Zentrales Management

Management Schnittstellen

• Konfigurationsprofile

• Zukünftig

– Mobile Device Management

• Sinnvollste Umsetzung:

– Dritt-Produkte

• Microsoft Exchange ActiveSync

Konfigurationsprofile

• XML-Dateien zur Beschreibung der Gerätekonfiguration

– Zugriffsschutz, Zertifikate, Email, etc

• Profile werden offline mit Hilfe eines Konfigurationsprogramms erstellt

• Distribution der Profile

– Drahtlos: Email, SMS, Webbrowser

– Drahtgebunden: USB

• Signierung und Verschlüsselung möglich

Konfigurationsprofile

• XML-Dateien zur Beschreibung der Gerätekonfiguration

– Zugriffsschutz, Zertifikate, Email, etc

• Profile werden offline mit Hilfe eines Konfigurationsprogramms erstellt

• Distribution der Profile

– Drahtlos: Email, SMS, Webbrowser

– Drahtgebunden: USB

• Signierung und Verschlüsselung möglich

Mobile Device Management

Hersteller

Exchange ActiveSync (EAS)

Zusammenfassung

• Apple bietet mit iOS 4 zahlreiche Schutzfunktionen und Sicherheits-maßnahmen

• Zentrales Management mit iOS 4

• Verbleibende Herausforderungen– Verschlüsselung von Anwendungsdaten

– Verschlüsselung von Backups

– Patch-Management

Quellen

• developer.apple.com

• Apple Patente– US 2009/0257595

– US 2009/0258660

• Apple WWDC 2010, Session 209

• iPhone App Programming Guide

• iPhone in Business / iPad in Business

• iPhone Security / iPad Security

• The iPhone Wiki, http://theiphonewiki.com

• iPhone Dev Wiki, http://iphonedevwiki.net

Fragen

Vielen Dank