Mobil Uygulamalarda Güvenlik Denetimi

Benzer belgeler

Bankacılıkta Mobil Uygulamaların Geleceği ve Beraberindeki Riskler

Bankacılıkta Admin Riskleri ve Bellekte Avcılık

Bilgi Güvenliği Açısından Sızma Testlerinin Önemi

GÖRÜNÜM OLAYLAR KALEM

Saldırgan Yaklaşımı. Nebi Şenol YILMAZ Danışman / Yönetici Ortak senol.yilmaz@secrove.com. Secrove Information Security Consulting

Başlangıç Ayarları.

Statik Analiz Dinamik Analiz Açık Kutu Testleri

İŞLETİM SİSTEMİ KATMANLARI (Çekirdek, Kabuk ve diğer temel kavramlar) Öğr.Gör. Dr. Dr. Şirin KARADENİZ

DORYA ROBOTİK. İçindekiler. Kitap Sayfa Sayısı: 80 Kitap Fiyatı: 24,00 TL

Red Alert 2.0 Truva Atı ve Bankacılık Zararlısı İnceleme Raporu

Öğr. Gör. Serkan AKSU 1

KENDİ ÇİZİM PROGRAMIMIZI OLUŞTURALIM

C# Programlama Dili. İlk programımız Tür dönüşümü Yorum ekleme Operatörler

NB Macro Kullanımı Hakkında Genel Bilgiler

KENDİ ÇİZİM PROGRAMIMIZI OLUŞTURALIM

Android Ders Notları

OPC Data Access (DA) Temelleri

Linux Assembly Programlamaya Giriş

SİBER GÜVENLİK HİZMETLERİ VE ÜRÜNLERİ.

IDA Pro ile Remote Linux Debugging

[Type text] Başvuru Kılavuzu

ÇANKRI KARATEKİN ÜNİVERSİTESİ

İŞLETİM SİSTEMİ KATMANLARI (Çekirdek, kabuk ve diğer temel kavramlar) Bir işletim sisteminin yazılım tasarımında ele alınması gereken iki önemli konu

BLM401 Mobil Cihazlar için ANDROİD İşletim Sistemi YAYIN ALICILARI. BLM401 Dr.Refik SAMET

App İnventor-Pide Sipariş Uygulaması

1. MobilePASS nedir? MobilePASS, SafeWord Kartınızın mobil uygulama versiyonudur. Güvenlik Yöneticiniz, MobilePASS ı CitiDirectBE haklarınıza ekler

ÇANKRI KARATEKİN ÜNİVERSİTESİ

ETKİLEŞİMLİ TAHTA KORUMA SİSTEMİ KURULUM

SpamTitan CD'den kurulum

OYUN GELİŞTİRME AŞAMALARI-I

2. dönem itibariyle ben de Zararlı Yazılım Analizi 101 dersi vererek bu programa katkıda bulunacağım.

9. HAFTA KBT204 İNTERNET PROGRAMCILIĞI II. Öğr.Gör. Hakan YILMAZ.

Logsign Hotspot. Güvenli, izlenebilir, hızlı ve. bağlantısı için ihtiyacınız olan herşey Logsign Hotspot da!

GELECEĞİN POS SİSTEMİNİ BU GÜNDEN KULLANIN BULUTADİSYON BULUT TEKNOLOJİSİ KULLANAN TEK POS SİSTEMİDİR

SparkleShare. Çağrı Emer. Ekim, 2011

Wolvox Kapı Ekranı. AKINSOFT Wolvox Kapı Ekranı Yardım Dosyası. Doküman Versiyon :

İsimler ve Kapsam. 24 Şubat Programlama Dilleri - Pamukkale Üniversitesi 1

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

BLM401 Mobil Cihazlar için ANDROİD İşletim Sistemi GÜVENLİK VE İZİNLER. BLM401 Dr.Refik SAMET

İşletim Sistemi Nedir?

Kurum Personeli için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

Timer İle arka plan renk değişimi

PROGRAMLAMAYA GİRİŞ FONKSİYONLAR

FOUR FAİTH ROUTER LARDA IPSEC GÜVENLİ HABERLEŞME KILAVUZU

STEPTEMBER 2017 TAKIM KAPTANLARI İÇİN YOL HARİTASI

İş Uygulamalarınızı 3. Boyuta Taşıyın!

AVM ve mağazalar için

Yrd. Doç. Dr. Caner ÖZCAN

İç Denetimin Gelişen Teknolojideki Rolü

Bilgi ve İletişim Teknolojileri (JFM 102) Ders 7. LINUX OS (Sistem Yapısı) BİLGİ & İLETİŞİM TEKNOLOJİLERİ. LINUX Yapısı

Qlik Sense için sistem gereksinimleri. Qlik Sense 3.2 Telif Hakkı QlikTech International AB. Tüm hakları saklıdır.

Bootstrap 3 Dersleri 2. GRID SİSTEMİ

Bölüm 10. Altprogramları Uygulamak

Hoşgeldiniz DİBBYS. Yeni Özellikler ve Faydaları

Google Chrome Kullanıyorsanız; Microsoft Internet Explorer Kullanıyorsanız;

Mobil Uygulama Geliştirme Yaklaşımları, Web Tabanlı Mobil Uygulama Çatıları. Burak USGURLU

emon: Gerçek Zamanlı Gömülü Sistemlerin Çalışma Zamanı Görselleştirilmesi İçin Monitör Yazılımı

Giriş. geleneksel işletim sistemlerinde her prosesin. aynı adres uzayında birden fazla akış kontrolü gerekebilir

Türkçe. BT-03i Kullanıcı Kılavuzu

Python Programlama Dili

Enerjimiz Herseye Yeter

Temel Bilgi Teknlolojileri 1. Ders notları 5. Öğr.Gör. Hüseyin Bilal MACİT 2017

E-fatura Materials Control Kullanım Kılavuzu

5S7 OYUN YAZIYORUM GENEL BAKIŞ A. PROJE - YILDIZ TOPLAYAN ÇOCUK

Yrd. Doç. Dr. Caner ÖZCAN

Exploit.CVE Analizi

ÖZET SONUÇ BİLDİRGESİ

C# ile e-posta Göndermek

Windows Server 2012 Active Directory Kurulumu

BİLİM VE SANAT MERKEZLERİ GRUP TARAMA UYGULAMASI ÖĞRETMEN KILAVUZU

Hakkında ARGE SECOPS EĞİTİM MSSP SOME / SOC PENTEST. BGA Bilgi Güvenliği A.Ş.

Zararlı Yazılım Analizi

Enerji, bankacılık, finans, telekomünikasyon gibi önemli sektörler Sinara Labs ile siber saldırılar a karşı güvende

K12 Uzantılı E Posta Kullanım Ve Kurulum Klavuzu

Sedna Mobile TourSale

1.5. Başvuru formundaki bilgileri aşağıdaki şekilde doldurunuz. Kart Okuyucu Tipi: Mini Kart Okuyucu Sertifika Süresi: 3 Yıl

UNIVERSAL REPEATER (TEKRARLAYICI/GENİŞLETİCİ MODU)

DHL Connect 3.3 Kurulum Kılavuzu

e-fatura Suite 8 kullanım kılavuzu

Lambda İfadeleri (Lambda Expressions)

Qt ile Bir Ağ Uygulaması

MÜŞTERİLER ŞUBEYE GELMEDEN ÖNCE SIRAMATİK'TEN NUMARA ALABİLİR...

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

LOGO 3 SERİSİ: KULLANICI DENEYİMİNİN BİTMEYEN YOLCULUĞU

Windows 7 Format Atma ve Kurulumu (Resimli Anlatım)

Ağ Bağlantısı Hızlı Kurulum Kılavuzu

KAREL UCAP OUTLOOK EKLENTİSİ KULLANIM KILAVUZU

DetailsView. DetailsView kontrolünün GridView kontrolüyle paralel şekilde kullanımı ile ilgili örnek

Küçük misafirleriniz. güvende. WIRELESS SOLUTIONS Turizm Çözümleri ÇOCUK TAKİP

SQL Server 2008 kurulum için Microsoft Windows Installer 4.5 ve üzeri bileşenin bilgisayarınızda kurulu olması gerekir. İndirmek için tıklayın

iphone & ipad için e-posta hesabı kurulumu

Krm.MobilTapu Uygulaması Kullanımı

6. HAFTA KBT204 İNTERNET PROGRAMCILIĞI II. Öğr.Gör. Hakan YILMAZ.

1 Milyon Kullanıcıya Nasıl Hizmet Veriyoruz? CloudLMS Teknik Alt Yapı ve Mimarimiz

1 OTOMASYON DÖNÜŞÜM İŞLEMLERİ

CUSTOMSLİDİNG KULLANIMI

HAVELSAN Siber Güvenlik Akademisi. Önlenemiyorsa Korunmak için Eğitim

e-fatura OPERA kullanım kılavuzu

Transkript:

Mobil Uygulamalarda Güvenlik Denetimi Nebi Şenol YILMAZ Danışman / Yönetici Ortak senol.yilmaz@secrove.com

Ajanda Hakkımızda Mobil Dünya Güvenlik İhtiyacı Uygulama Denetimi Örnek Uygulama 2

Hakkımızda Nebi Şenol YILMAZ, CISA, C EH, ISO 27001 LA Bilgi Güvenliği Danışmanlığı Zafiyet Araştırmaları Bilgi Güvenliği Eğitimleri Siber İstihbarat Çalışmaları 3

Mobil Dünya Gözümüz Kulağımız Dilimiz haline geldi... 4

Mobil Dünya İşimiz artık parmaklarımızın ucunda, ya da... 5

Mobil Dünya Avucumuzun içinde... 6

Mobil Dünya :) ve bütün hizmetler önümüze geliyor... 7

Güvenlik İhtiyacı 8

Güvenlik İhtiyacı 9

Uygulama Denetimi Ağ Üzerinde Denetim Statik Kod Analizi Dinamik Analiz 10

Uygulama Denetimi Ağ Üzerinde Denetim Internet 11

Uygulama Denetimi Ağ Üzerinde Denetim Veriler açık olarak mı iletiliyor? Gizli veri sızdırma mevcut mu? Veriler manipüle edilebiliryor mu? Manipülasyon sunucu tarafında zafiyet oluşturuyor mu? 12

Uygulama Denetimi Statik Kod Analizi 13

Uygulama Denetimi Statik Kod Analizi Otomatik araçlar ile kod analizi Uzman insan kaynağı ile kod analizi 14

Uygulama Denetimi Dinamik Analiz 15

Uygulama Denetimi Dinamik Analiz Uygulamanın çalışması sırasında manipülasyon yapmamızı sağlar. Client-side kontrollerin hepsi by-pass edilebilir. Gizlenmiş fonksiyonların çağrılması sağlanabilir. Gizlenmiş veriler dump olarak alınabilir. 16

Uygulama Denetimi Dinamik Analiz Debugger (gdb) Otool Class-dump-z Snoop-it Cycript 17

Uygulama Denetimi Dinamik Analiz Debugger (gdb) 18

Uygulama Denetimi Dinamik Analiz otool 19

Uygulama Denetimi Dinamik Analiz class-dump-z 20

Uygulama Denetimi Dinamik Analiz Snoop-it 21

Uygulama Denetimi Dinamik Analiz cycript 22

Uygulama Denetimi Örnek Uygulama Cycript Görsel özelliklerde işlem yapabiliriz SpringBoard üzerinde işlemler gerçekleştirmek Fonksiyon özelliklerinde işlem yapabiliriz PhotoVault uygulamasında authentication by-pass gerçekleştirmek 23

Örnek Uygulama - cycript İlk olarak jailbreak yapılmış telefonumuza: Cycript Class-dump-z kurmalıyız. 24

Örnek Uygulama - cycript SSH ile telefona erişip, üzerinde işlem yapacağımız uygulamayı seçeceğiz: 25

Örnek Uygulama - cycript Cycript ile, işlem yapacağımız process'e attach olacağız: Ağaç yapısında uygulama window görsellerine erişeceğiz: 26

Örnek Uygulama - cycript Hedefimizde uygulamaların icon ları var. Görsel subview özelliklerini kullanarak SBIconView a erişeceğiz. 27

Örnek Uygulama - cycript Uygulama icon larına eriştiğimize göre, işlem yapabiliriz. Bir uygulama'yi görünmez yapalım. İlgili object'in sethidden metodunu çağırıyoruz. Metod çağırırken komutları [...] içerisinde kullanıyoruz. 28

Örnek Uygulama - cycript Object'ler hiyerarşik olduğu için bir üst subview üzerinde işlem yapalım. Eriştiğimiz subview icon container olduğu için container içideki bütün icon lar kayboldu. 29

Örnek Uygulama - cycript Object'lerde daha üste çıktığımızda... Artık masaüstünü tamamen gizlemiş olduk. 30

Örnek Uygulama - cycript... ve herşeyi geri getirelim... sethidden: NO 31

Örnek Uygulama - cycript Şimdi de PhotoVault uygulamasına bir bakalım. Uygulama giriş için parola istiyor... Bu ekranı by-pass edebilir miyiz? 32

Örnek Uygulama - cycript Cycript ile uygulamaya attach olup, bu ekranı geçmeye ilişkin fonksiyon çağrısı yapabilirsek, by-pass etmiş olacağız. Bunun için Application Delegate içerisindeki fonksiyonlara göz atmamız gerekiyor. Bu noktada class-dump-z kullanacağız. 33

Örnek Uygulama - cycript Uygulamaya attach olup, adım adım ilerleyelim... Process ID: 4791 Application Delegate: AppDelegate Class-dump-z ile uygulamanın class-dump'ını alıp işimize yarayacak fonksiyonlara bakabiliriz. 34

Örnek Uygulama - cycript Uygulamayı dump edip, AppDelegate içindeki fonksiyonları inceleyelim. 35

Örnek Uygulama - cycript Bu fonksiyonlar içinde pinlockcontrollerdidfinishunlocking isminde bir fonksiyon mevcut. Denemeye değer... 36

Örnek Uygulama - cycript Cycript içinden pinlockcontrollerdidfinishunlocking fonksiyonunu call ediyoruz. 37

Örnek Uygulama - cycript Fonksiyon çağrımız işe yarıyor ve authentication ekranını by-pass etmiş oluyoruz Peki başka neler yapabiliriz? PhotoVault Uygulamasının iconbadge ini değiştirelim. 38

Örnek Uygulama - cycript Uygulamanın belleğinde işlem yapmamıza iman sağlayan cycript ile Uygulama arayüzüne ilişkin manipülasyonlar Uygulama içindeki değişkenlere ilişkin manipülasyonlar Uygulam içindeki fonksiyon çağrılarına ilişkin manipülasyonlar gerçekleştirilerek, uygulama içerisindeki kontroller by-pass edilebilmektedir. 39

Teşekkürler! 40