Säkerhetsanalys av Android som plattform förföretagsapplikationer

(1)

Institutionen för datavetenskap

Department of Computer and Information Science

Examensarbete

Säkerhetsanalys av Android som plattform för

företagsapplikationer

av

Per Jinnegren och Erik Thorselius

LIU-IDA/LITH-EX-A-11/033-SE

2011-10-24

Linköpings universitet SE-581 83 Linköping, Sweden

Linköpings universitet 581 83 Linköping

(2)

Examensarbete

S¨

akerhetsanalys av Android som plattform f¨

or

f¨

oretagsapplikationer

av

Per Jinnegren Erik Thorselius

LIU-IDA/LITH-EX-A–11/033–SE

Handledare : Andreas Olofsson

Avdelningen f¨or mobila plattformar vid HOW Solutions

Examinator : Nahid Shahmehri

Institutionen f¨or datavetenskap vid Link¨opings universitet

(3)

(4)

Sammandrag

I rapporten undersöks säkerhetsaspekter för företagsapplikationer utveckla-de till androidplattformen. Rapporten tar även upp Androids grunder och dess säkerhetsmodell. Syftet med rapporten var att undersöka Androids lämplighet för projekt som HOW Solutions har planerade. Under arbetet har en applikation för tr˚adlös öppning av l˚as utvecklats. Resultatet var att m˚anga av de hot som upptäcktes var, för företag, i vissa fall är sv˚ a-ra att mitigea-ra och att viss relevant funktionalitet saknas p˚a plattformen. Trots det är slutsatsen att Android är en mogen plattform med ett gediget säkerhetsarbete och därför lämpar sig bra för företagsapplikationer.

Nyckelord : Android, S¨akerhet, Abuse cases, STRIDE, Sandbox, Root

(5)

(6)

Tack

Vi vill tacka b˚ade IDA och HOW Solutions som har m¨ojliggjort examens-arbetet. Andreas Olofsson som har visat ett stort intresse som handledare och Nahid Shahmehri som har varit en bra examinator. Vi vill ocks˚a tacka Frida Str˚alin som har tagit sig tid och kommenterat v˚ar rapport. Sist vill vi tacka oss sj¨alva, det har varit ett riktigt bra samarbete!

(7)

(8)

Inneh˚

all

Figurer viii Tabeller 1 1 Inledning 2 1.1 Syfte . . . 3 1.2 Bakgrund . . . 3 1.3 Problemformulering . . . 3 1.3.1 Beskrivning . . . 3 1.4 Avgr¨ansningar . . . 4 2 Metodik 5 2.1 Metoder i litteraturen . . . 5 2.2 Metod . . . 7 2.2.1 Litteraturstudie . . . 7

2.2.2 Implementation av ett androidprogram . . . 7

2.2.3 Abuse cases . . . 8 2.2.4 S¨akerhetskrav . . . 8 2.2.5 Arkitekturell riskanalys . . . 10 2.3 Metodkritik . . . 10 3 En beskrivning av Android 11 3.1 Grunder . . . 11 3.1.1 Applikationer . . . 12 v

(9)

vi INNEH˚ALL Komponentbeskrivning . . . 12 Intents . . . 13 3.1.2 Dalvik VM . . . 14 3.1.3 Sandboxning . . . 16 3.1.4 Spr˚akstöd i Android . . . 16 3.1.5 Paketeringsprocessen . . . 16 3.2 Androids säkerhetsmodell . . . 17 3.2.1 Rättighetsmodellen . . . 17 3.2.2 Kodsignering . . . 17

3.2.3 Linuxk¨arnans inblandning . . . 18

UID/GID . . . 18

Ge applikationer samma UID . . . 18

R¨attigheter f¨or filer och enheter . . . 19

Sandboxning genom egna anv¨andare . . . 19

4 Applikationen 21 4.1 Syfte . . . 21

4.2 Det befintliga systemet . . . 21

4.2.1 Backend . . . 22

4.2.2 Databasen . . . 23

4.2.3 Telefonen . . . 23

4.2.4 L˚aset . . . 23

4.2.5 Loggning . . . 24

4.2.6 Uppl˚asningsf¨orfarande . . . 25

4.3 Den utvecklade applikationen . . . 25

4.3.1 Inloggning . . . 26

4.3.2 Inst¨allningar . . . 27

4.3.3 L˚aslista . . . 28

4.3.4 Uppl˚asning . . . 28

5 Resultat och analys 29 5.1 Identifierade s¨akerhetsproblem . . . 29

5.1.1 Rootning . . . 29

5.1.2 Loggning . . . 30

5.1.3 R¨attigheter f¨or filer och databaser . . . 30

(10)

INNEH˚ALL vii 5.1.5 SQL-injektion . . . 32 5.1.6 Gamla versioner . . . 33 5.2 Hj¨alpmedel . . . 33 5.2.1 Obfuskering . . . 33 ProGuard . . . 34

Hur stor skillnad g¨or obfuskering . . . 34

5.2.2 St¨od f¨or kryptering . . . 35

5.3 Distribution . . . 36

5.3.1 Nackdelar med Android market . . . 36

5.3.2 Krav . . . 36

5.3.3 Automatiskt uppdatering . . . 37

5.3.4 Telefonspecifika installationsfiler . . . 37

5.3.5 Initialinstallation fr˚an en centralpunkt . . . 38

5.3.6 S¨akerhetsaspekter p˚a designf¨orslag . . . 38

6 Diskussion 39 6.1 Diskussion av resultatet . . . 39 6.2 Vidare studier . . . 41 Litteraturf¨orteckning 42

Appendix

47

A Misuse cases 47

(11)

Figurer

3.1 Intentval . . . 15 3.2 Packeteringsprocessen . . . 20 4.1 Systemöversikt . . . 22 4.2 Utvecklingsdörren . . . 24 4.3 Inloggningsrutan . . . 26 4.4 Resursmappar . . . 27 4.5 Spr˚aksträngar . . . 27 viii

(12)

Tabeller

2.1 Abuse case mall . . . 9

(13)

Kapitel 1

Inledning

Företag har i flera ˚ar haft applikationer med företagskänslig information ute p˚a fältet, att utveckla program till mobiltelefoner är inte heller n˚agot nytt. Under de senaste ˚aren har dock mobiltelefonmarknaden genomg˚att stora förändringar. Datormobiler har tagit större plats och utvecklingen g˚ar snabbt fram˚at. Företagen har f˚att upp ögonen för att integrera mobiltele-fonerna i sin organisation och intresset för företagsapplikationer1 är stort. Kraven p˚a b˚ade telefonerna och applikationerna är dock stora.

I media debatteras ofta om hur os¨akra de nya mobila plattformarna ¨

ar [1] [2]. Dock p˚avisar argumenten sällan n˚agra tekniska brister. Debatten handlar oftast om användarens omdöme och mer exakt hur sv˚art det är med användare som gör informerade men d˚aliga beslut, till exempel installera applikationer som utför fler funktioner än vad den utger sig för att göra. Detta kan exempelvis vara att skicka vidare dina kontakter till en tredje part.

Idag använder flera företag applikationer utvecklade för datormobiler i sina IT-lösningar. Hur ser säkerheten ut för dessa företagsapplikationer om användaren även laddat ned op˚alitliga applikationer? Vad är viktigt att tänka p˚a som utvecklare?

1_{En applikation som anv¨}_{ands av f¨}_{oretag eller organisationer och inte intressanta f¨}_or

hemanv¨andare. Applikationen tillhandah˚aller en arbetsrelaterad tj¨anst.

(14)

Inledning 3

1.1 Syfte

Syftet med denna rapport är att ge en överblick över Androids s¨ akerhets-lösning och hur denna hanterar säkerheten mellan applikationer. Vidare beskriver rapporten även hjälpmedel som kan användas av utvecklare för att öka säkerheten i de applikationer som utvecklas.

1.2 Bakgrund

HOW Solutions är ett konsultbolag som erbjuder lösningar inom IT- och verksamhetslösningar. HOW Solutions har tidigare utvecklat en applikation till plattformen Windows Mobile 6 samt till de mobiler som kan köra Java ME2. Applikationen är en lösning att l˚asa upp ytterdörrar med digitala nycklar i telefonen och används inom hemtjänsten p˚a flera orter i Sverige. D˚a Windows Mobile 6 är p˚a väg att ersättas av Windows Phone 7 och Java ME har visat sig kräva telefonspecifika lösningar, har HOW Solutions valt undersöka andra plattformar och d˚a med fokus mot Android, se kapitel 3.

1.3 Problemformulering

Arbetet utf¨ordes med avseende p˚a tre problemformuleringar. Hur hanterar Android s¨akerheten mellan applikationer?

Vilka säkerhetsproblem kan vi identifiera i Androidplattformen? Vilka hjälpmedel finns för utvecklare och distributörer av

f¨oretagsap-plikationer?

1.3.1 Beskrivning

HOW Solutions ville unders¨oka plattformen med avseende p˚a f¨oljande fo-kusomr˚aden.

2_{Java Micro Edition ¨}_{ar en nedbantad version av Java Standard Edition designad f¨}_or

(15)

4 1.4. Avgr¨ansningar

Kommunikation med webbservices

Distribution av applikationer utanf¨or market Spr˚akkonvention

Databasst¨od Datalagring

Kommunikation via Bluetooth Grafiska komponenter

Kodobfuskering Signering av kod

Automatisk uppdatering

HOW Solutions var intresserade av att utvecklingsarbetet skedde i stan-dardmiljön. För Android innebär det en utvecklarmiljö i Eclipse och Java som utvecklingsspr˚ak. Utvecklingen gjordes b˚ade i den medföljande emula-torn och p˚a Androidmobiler. I uppdraget l˚ag säkerhetsfokus p˚a att analy-sera de problem som rörde de interna strukturerna i Android och kommu-nikationen med andra system.

1.4 Avgr¨

ansningar

Examensarbetet fokuserar p˚a de säkerhetsproblem som direkt eller indirekt kan p˚averka den utvecklade applikationens funktioner eller data. Applika-tioner som missbrukar de rättigheter som användaren godkänner har inte undersökts. En jämförelse mot de befintliga klienter som HOW Solutions tidigare utvecklat har inte utförts d˚a de plattformarna inte längre är intres-santa att använda i systemet. Översättningar av engelska termer kommer fr˚an Svenska datatermgruppens3 rekommendationer. I de fall där ingen ¨

overs¨attning finns har den engelska termen anv¨ants.

(16)

Kapitel 2

Metodik

I det här kapitlet presenteras en kort översikt av litteraturen som behandlar metoder för att förbättra säkerheten i programvara tillsammans med en beskrivning av de metoder som använts.

2.1 Metoder i litteraturen

McGraw (2006) [3] beskriver Seven touchpoints for software security”, vilka ¨

amnar mot att öka säkerheten i mjukvarusystem. 1. Abuse cases 2. Säkerhetskrav 3. Riskanalys 4. Riskbaserade säkerhetstester 5. Kodgranskning 6. Penetrationstestning 7. Säkerhets˚atgärder

(17)

6 2.1. Metoder i litteraturen

Abuse cases, ibland även kallade misuse cases, kan beskrivas som en variant av use cases med fokus p˚a säkerhet. McDermott & Fox (1999) [4] definierar ett use case som en specifikation av en fullständig interaktion mellan ett system och en eller flera aktörer och beskriver allts˚a en funktion i systemet. Enligt Sindre & Opdahl (2001) beskriver abuse cases funktio-nalitet som man vill att ett system inte ska till˚ata [5]. Sindre och Ophdahl (2004) [6] skriver att vanliga use cases är användbara när man arbetar med funktionella krav med följden att man lätt missar extrafunktionella krav som till exempel säkerhetskrav och menar vidare att dessa säkerhetskrav kan hittas med abuse cases. CockBurn (2001) [7] skriver att use cases oftast beskrivs med vanlig text men kan ocks˚a utgöras av exempelvis flödes- och sekvensdiagram. Sindre & Opdahl [6] skriver att detta ocks˚a kan utnyttjas för abuse cases.

Mead & Stehney (2005) [8] skriver att krav är kritiska för hur väl ett projekt lyckas och att kostnaden för att rätta till fel som beror p˚a bristan-de krav ofta är en stor del av den totala projektkostnaden. Mead (2006a) [9] skriver att i m˚anga fall när säkerhetskrav är definierade är dessa of-ta of-tagna fr˚an en lista med säkerhetsfunktioner. Vidare skriver författaren ocks˚a att fastställandet av säkerhetskrav inte är en eng˚angsaktivitet utan bör tänkas p˚a under hela utvecklingsprocessen. Ett antal metoder för ut-formandet av säkerhetskrav har definierats. Viega (2005)[10] beskriver en metod kallad CLASP som använder sig av roller och resurser för att bygga säkerhetskrav. Mead (2006b) [11] skriver om en process kallad SQUARE som utvecklats p˚a Carnegie Mellon University som utvecklar, kategoriserar och prioriterar säkerhetskrav. Haley m.fl. (2008) [12] beskriver ett ramverk för säkerhetskrav som har följande aktiviteter:

1. Identifiera funktionella krav 2. Identifiera s¨akerhetsm˚al 3. Identifiera s¨akerhetskrav 4. Verifiera systemet

Dessa aktiviteter utf¨ors under ett antal iterationer.

McGraw (2006) [3] menar att designbrister är ansvariga för 50% av s¨ a-kerhetsproblemen. Han föresl˚ar en metod för att utföra arkitekturell

(18)

riska-Metodik 7

nalys som best˚ar av tre stycken huvudaktiviteter; attack resistance analysis som är ämnat att hitta kända svagheter med hjälp av exempelvis checklis-tor och metoder som Microsoft STRIDE [13] , ambiguity analysis som är ¨

amnat att hitta nya svagheter i systemet som ej hittas med attack resistan-ce analysis samt weakness analysis som är ämnat att undersöka svagheter i underliggande system och plattformar.

2.2 Metod

I det h¨ar avsnittet beskrivs de metoder som har anv¨ants under examens-arbetet.

2.2.1 Litteraturstudie

I början av examensarbetet utfördes en litteraturstudie för att öka kun-skapen om androidplattformen och dess säkerhetsfunktioner. D˚a Android ¨

ar en relativt ung plattform var utbudet av vetenskapliga artiklar, rörande Androids säkerhet, d˚aligt. Därför studerades även artiklar rörande Linux-kärnan, säkerhetsmetoder, implementationer m.m.. Artikelsökningen ut-fördes i huvudsak i, av LiU tillhandah˚allna ,sökmotorer som exempelvis Scopus. Databaser över s˚arbarheter som till exempel National vulnerability database1 användes för att hitta aktuella säkerhetsbrister i Android.

Ett stort stöd under utvecklingen var ocks˚a Androids utvecklarhemsida2 där en förteckning över Androids utvecklingsapi tillhandah˚alls. Hemsidan inneh˚aller även resurser som till exempel inspelningar fr˚an Googles utveck-larkonferens Google I/O och artiklar rörande funktioner i Android.

2.2.2 Implementation av ett androidprogram

Under examensarbetet implementerades en androidversion av ett klient-program som idag finns till Java ME-telefoner och Windows Mobile 6. Pro-grammet integrerades med ett befintligt bakomliggande system d¨ar

hante-1_{En erk¨}_{and databas ¨}_{over k¨}_{anda s˚}_{arbarheter som administreras av amerikanska staten}

http://nvd.nist.gov/

(19)

8 2.2. Metod

ringen av till exempel användare sköttes. Utvecklingen skedde i korta itera-tioner med specifika fokusomr˚aden som till exempel Bluetooth, databaser och GUI. Applikationen är en lösning för att l˚asa upp dörrar via mobiltele-foner och beskrivs närmare i sektion 4.3. M˚alet med implementationen var inte att ta fram en slutprodukt.

2.2.3 Abuse cases

Under examensarbetet användes abuse cases för att diskutera och iden-tifiera potentiella säkerhetsproblem. En variant av den mall som Sindre & Opdahl [6] föresl˚ar togs fram. Mallarna användes som utg˚angspunkt i diskussionen och för att dokumentera arbetet, se tabell 2.1. I abuse casen mallen användes inte alltid alla fält d˚a dessa ibland inte var relevanta. Oli-ka tillg˚angar identifierades i applikationen och systemet i sin helhet. Dessa tillg˚angar, som en angripare eventuellt skulle vilja komma ˚at, användes sedan för att skapa abuse cases.

2.2.4 S¨

akerhetskrav

För att utforma de säkerhetskrav som skulle ställas p˚a det system som HOW Solutions ville utveckla användes, med vissa modifikationer, den me-tod som Haley m.fl (2008) [12] definierar. Arbetet inleddes med att definie-ra funktionella kdefinie-rav p˚a applikationen d˚a dessa inte fanns att tillg˚a. Utifr˚an dessa funktionella krav identifierades tillg˚angar i systemet som sedan an-vändes för att skapa hotbildstupler. Hotbildstuplerna är uppbyggda enligt attack, tillg˚ang, skada och kategoriserade enligt CIA 3 [14]. Säkerhetsm˚al, ¨

aven dessa kategoriserade enligt CIA, f¨or systemet utvecklades sedan med dessa som grund.

Den sista aktiviteten var att utforma säkerhetskrav. Dessa s¨ akerhets-krav är en konkretisering av säkerhetsm˚alen och kopplade till de funktio-nella kraven.

(20)

Metodik 9

Attributnamn F¨orklaring

Namn Namn p˚a abuse caset

Sammanfattning En kort sammanfattning av abuse caset

F¨orfattare Namn p˚a den som skrivit abuse caset

Datum Datumet d˚a abuse caset skrevs

Standardväg Den väg som är standard för attacken

Alternativa v¨agar Alternativa v¨agar som angriparen kan

g˚a f¨or att n˚a sitt m˚al

Mitigering S¨att p˚a vilket en attack kan f¨orhindra,

alternativt mildras

Anknutna abuse cases Abuse cases som är anknutna till ak-tuellt abuse case. Till exempel om en attack beskriven av ett annat abuse ca-se är en del av n˚agon väg för att utföra attacken i detta abuse case

Utl¨osande faktor Vad som utl¨oser ett abuse case

Villkor Vilka villkor m˚aste uppfyllas f¨or att

abuse caset skall vara m¨ojligt att utf¨ora

Antagande Antaganden om till exempel systemet

eller angriparen

Mitigeringsförsäkran Beskriver vad resultatet är av ett miti-gerat abuse case

Värsta möjliga hot Beskriver vad värsta möjliga utfall av abuse caset är

Relaterade affärsregler Vilka affärsregler som bryts ifall abuse caset är lyckat

Potentiell missanvändarprofil Beskriver en angriparen eller den an-vändare som använder systemet felak-tigt

Ber¨orda parter och hot De som p˚averkas av abuse caset och de hot som abuse caset ber¨or

Terminologi och förklaringar Viktig terminologi och förklaringar Tabell 2.1: V˚ar mall för abuse cases

(21)

10 2.3. Metodkritik

2.2.5 Arkitekturell riskanalys

Arbetet inleddes med att skapa en högniv˚amodell över de olika komponen-terna i applikationen och systemet. Detta för att enkelt kunna f˚a en översikt och enklare kunna identifiera potentiella problemomr˚aden i arkitektur och design. Nästa steg var att göra en Attack resistance analysis och här an-vändes Microsoft STRIDE. Högniv˚amodellen tillsammans med abuse casen användes för att dela upp applikationen i relevanta subgrupper. STRIDE ¨

ar en akronym för ett antal attacktyper: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service och Elevation of Privilege. Ef-ter detta undersöktes vilka av dessa attacktyper som var möjliga mot de olika suggrupperna. Nästa steg var att hitta mer konkreta risker mot de olika grupperna och d˚a användes ett antal diskussionsfr˚agor som beskrivs i Howard & Lipner 2006 [15].

En analys som gick ut p˚a att leta efter redan kända attacker mot de plattformar som används av systemet utfördes. Denna begränsades dock till Android och de komponenter som användes.

En Ambiguity analysis, som ocks˚a ing˚ar i en arkitekturell riskanalys enligt McGraw (2006) [3] , utfördes ej d˚a denna analys kräver en stor erfa-renhet utav datasäkerhet.

2.3 Metodkritik

En begränsning är att de touchpoints McGraw (2006) [3] beskriver är tänkta att användas i större projekt. De slutprodukter som metoderna resulterade i var inte lika viktiga som diskussionerna som hölls under utformandet av dessa. Diskussionerna hade blivit bättre i en lite större grupp. Varvandet mellan implementering och de säkerhetsmetoder som användes är ett bra sätt för att bättre se helheten av arbetet. Den metod som användes för att ta fram säkerhetskraven skalade inte till den applikationen som utvecklades. Därför utfördes p˚a grund av tidsbrist endast en iteration. En annan metod för att ta fram säkerhetskraven borde användas.

Microsoft STRIDE är en enkel metod att använda och resultatet av denna var mycket bra. Metoden hittade flera säkerhetsbrister som inte hade upptäckts i de tidigare aktiviteterna.

(22)

Kapitel 3

En beskrivning av

Android

I detta kapitel beskrivs plattformen Androids grunder samt s¨ akerhetsmo-dellen.

3.1 Grunder

Android är en samling mjukvara som utgörs av ett operativsystem, mel-lanprogramvara och vissa standardapplikationer [16]. Operativsystemet an-vänds först och främst i mobiltelefoner men finns även till surfplattor. Open Handset Alliance, där bland annat Google ing˚ar, st˚ar bakom Android. Android släpptes under licensen Apache 2.0 i september 2008, men nya versioner utvecklas kontinuerligt[17]. Flera mobiltillverkare utvecklar idag androidmobiler bland annat HTC, Sony Ericsson och Samsung och dessa har i sin tur ett flertal olika modeller p˚a marknaden.

Android använder sig av linuxkärnan och ärver därför mycket av den grundfunktionaliteten som finns hos den vilket exempelvis är hantering av tr˚adning, kommunikation med enheter och systemanrop [16].

(23)

12 3.1. Grunder

3.1.1 Applikationer

Externa applikationer är en viktig del i Android och det som mest utmärker den nya generationens mobiltelefoner. Att installera applikationer p˚a tele-foner är inget nytt utan det nya är integrationen mellan applikationerna och operativsystemet. Det finns applikationer som hanterar telefonresur-ser som till exempel SMS eller telefonsamtal. Andra applikationer tillför underh˚allning som till exempel spel eller videospelare.

Applikationer distribueras p˚a Android Market, som är en form av pa-kethanterare1. I Android finns även möjligheten att installera program fr˚an externa källor, dock m˚aste användaren explicit till˚ata detta genom att ¨ and-ra i inställningarna. Google har en mer öppen syn p˚a vad som f˚ar publice-ras p˚a market än vad till exempel Apple [18] har. I denna rapport kommer distributionen inte jämföras med konkurrenternas lösningar, men generellt lägger Android över mer ansvar p˚a användaren. Dwivedi m.fl. (2010) [19] p˚apekar att användaren därför bör vara noga med att kontrollera vad appen egentligen gör innan den laddas ned.

Komponentbeskrivning

En androidapplikation best˚ar i grunden av fyra applikationskomponenter. Dessa ¨ar aktiviteter, services, content providers och broadcast recievers. Nedan beskrivs dessa n¨armare.

En aktivitet i Android är en del i applikationen som presenterar en skärm för användaren att interagera med [20]. En applikation best˚ar oftast av ett antal aktiviteter som är sammankopplade och när en aktivitet startas visas den framför den förra aktiviteten. Den tidigare aktiviteten löper d˚a risk för att bli borttagen ur minnet av Androids skräpsamlare. Det är därför viktigt att tänka p˚a att spara undan data som man vill ska finnas kvar i applikationen när aktiviteten pausas. Aktiviteterna som körts läggs i en stack och när användaren trycker p˚a bak˚atknappen avslutas den aktivitet som har fokus och den aktivitet som nu ligger högst upp p˚a stacken f˚ar fokus.

Om man vill utföra uppgifter i bakgrunden som exempelvis att spela upp en musikfil bör man göra detta i en s˚a kallad service som är en

(24)

En beskrivning av Android 13

kationskomponent som inte har n˚agot GUI. En service som startas av en applikation fortsätter köra även om en annan applikation startas. Därför ¨

ar det viktigt att man stänger ned services när de inte längre behöver k¨ o-ras alternativt att man p˚a n˚agot sätt informerar användaren att servicen fortfarande körs, till exempel genom att visa en notifikation i statusraden högst upp p˚a telefonen.

En content provider hanterar delning av datakällor [21]. Content pro-viders är tänkt att användas främst om data ska delas mellan applikatio-ner men är en användbar abstraktion även inom en applikation. Android har flera inbyggda content providers som hanterar exempelvis kontakter, video och ljud. Kommunikationen med en content provider sker genom s˚a kallade content resolvers tillsammans med en URI(Uniform Resource Identifier)[22].

En broadcast receiver är ett objekt som lyssnar p˚a en s˚a kallad broadcast som skickas ut till hela systemet. De flesta broadcasts har sitt ursprung p˚a systemniv˚a och kan till exempel meddela att batteriniv˚an är l˚ag eller att skärmen har blivit p˚aslagen. En broadcasts kan ocks˚a skickas ut av appli-kationer [23][21]. Broadcast receivern utför sedan en operation beroende p˚a vad broadcastmeddelandet inneh˚aller.

Intents

Alla ovanst˚aende komponenter förutom content providers aktiveras med hjälp av asynkrona meddelanden som i Android heter Intents. Genom In-tents binder man ihop olika delar av applikationen. Ett Intent inneh˚aller en abstrakt beskrivning av vad som skall utföras. Om intentet skickas till en broadcast receiver beskrivs istället vad som hänt.

Det finns tv˚a huvudkategorier av intents, explicita och implicita: I ett explicit intent ¨ar det specificerat vilken klass som ska f˚a

informa-tionen. Man m˚aste allts˚a veta det exakta namnet p˚a klassen för att kunna skicka intentet vilket innebär att det nästan enbart används för kommunikation mellan komponenter inom samma applikation. I ett implicit intent är det inte specificerat exakt vilken komponent

som är m˚alet utan intentet m˚aste inneh˚alla tillräckligt med informa-tion för att systemet skall kunna välja en passande mottagare.

(25)

14 3.1. Grunder

Ett intent inneh˚aller som sagt information om vad som ska utf¨oras. Nedan beskrivs kortfattat vad denna information kan vara.

Component name Komponentnamnet är m˚alklassen för intentet. Ett in-tent där komponentnamnet är definierat är alltid ett explicit intent. Action Detta är en sträng som beskriver vad som skall utföras alternativt

vad som har utförts. Strängen för att ringa ett samtal är exempelvis ”ACTION CALL” och strängen för att meddela att batteriniv˚an är l˚ag är ”ACTION BATTERY LOW”.

Data Den URI[22] till den data som den Action som specificerats skall. Det g˚ar även att specificera vilken typ av data det är. Detta för att inte en applikation skall försöka öppna en fil den inte kan öppna. Category En sträng som beskriver vilken sorts komponent som ska

hante-ra intentet. Den kan inneh˚alla flera olika kategorier och en komponent m˚aste tillhöra samtliga dess för att kunna ta emot intentet. Exem-pel p˚a kategorier är ”CATEGORY BROWSERABLE”, som innebär att komponenten kan öppnas inifr˚an en webbrowser, och ”CATEGO-RY LAUNCHER” som innebär att komponenten är huvudaktivitet i en applikation.

Extras och flags Ytterligare information, som skall överföras till nästa komponent, kan läggas till i ett intent. Extras är en tupel som inne-h˚aller en nyckel och ett värde. Flaggor beskriver oftast hur en kom-ponent skall köras.

För att operativsystemet ska hitta vilken komponent som är mottagare av ett implicit intent används intentfilter. När ett implicit intent kastas s˚a jämförs tre parametrar i intentet gentemot intentfiltret. Parametrarna mat-chas mot intentfiltrets action, category och data (b˚ade URI och datatyp). Om det finns flera applikationer som uppfyller intentet s˚a f˚ar användaren besluta vilken applikation som ska hantera anropet[24][25]. Se figur 3.1.

3.1.2 Dalvik VM

Huvudspr˚aket för Android är Java som körs i en virtuell maskin. Syftet med en virtuell maskin är att skapa en abstraktion s˚a program skrivet för

(26)

Figur 3.1: Ett exempel p˚a när användaren f˚ar välja vilket program som skall ta emot det intent som skickats

den virtuella maskinen inte behöver ta hänsyn till den aktuella h˚ardvaran. Android använder inte Javas VM utan har ersatts av en ny virtuell maskin kallad Dalvik. Den största tekniska skillnaden är att Dalvik är en regis-terbaserad virtuell maskin medan JVM som är en stackbaserad virtuell maskin. Fler tekniska skillnader finns som gör att Java VM och Dalvik inte ¨

ar kompatibla med varandra. Program skrivna i Java m˚aste vara special-skrivna för att fungera p˚a Android. När en applikation exekveras i Android, skapas en egen instans av Dalvik. Dalvik är ingen extra säkerhetsfunktioner d˚a det är till˚atet för applikationer att köra kod utanför Dalvik. Dalvik är ¨

(27)

16 3.1. Grunder

3.1.3 Sandboxning

Android använder sig av en teknik som kallas för sandboxning som innebär att ett program körs i en isolerad miljö som ofta har begränsade r¨ attighe-ter att använda resurser i operativsystemet. Android använder de tillst˚and som godkänns av användaren för att bygga den sandbox som applikatio-nen sedan ska köras i. Genom att använda sandboxning f˚as ocks˚a fördelen att om n˚agot skulle g˚a fel s˚a är det en begränsad del av systemet som p˚averkas[27][28][29].

3.1.4 Spr˚

akst¨

od i Android

Majoriteten av alla applikationer till Androids skrivs i Java. Genom arvet fr˚an linux s˚a stödjer även Android kod skrivet i C, C++ och assembler med följden att tillg˚angen till Androids API begränsas. Utvecklaren kan fritt blanda olika programspr˚ak i samma projekt. Det kan vara praktiskt om Java inte ger en tillräckligt hög prestanda och delar av applikationen kan d˚a skrivas i till exempel C. Det har även gjorts försökt för att f˚a in andra spr˚ak, som till exempel Erlang [30] eller .NET [31], till Android.

3.1.5 Paketeringsprocessen

En applikations källkod är uppdelad och har en mer fast struktur än ett traditionellt javaprojekt. Källkodsfilerna är enligt Javastandard med pa-ket och klassfiler. En applikation har även resursmappar som definierar det grafiska gränssnittet, bilder, spr˚ak och liknade information. Resurserna länkas ihop med koden genom en fil som heter R.java och som genereras av utvecklingsverktygen. Vid paketering s˚a interpreteras alla javafiler till .classfiler. Dessa översätts sedan till Dalvik bytekod (.dexfiler) för att köras p˚a Androids virtuella maskin. Dexfilerna packas ihop med resurserna i en s˚a kallad Android Package (.apk). Paketfilen signeras och är redo för att köras p˚a en telefon [32]. Packeteringsprocessen beskrivs i figur 3.2

(28)

3.2 Androids s¨

akerhetsmodell

I detta avsnitt beskrivs Androids s¨akerhetsmodell p˚a b˚ade applikationsniv˚a och systemniv˚a.

3.2.1 R¨

attighetsmodellen

En applikation har som standard inte till˚atelse att använda funktioner som kan p˚averka andra applikationer, operativsystemet eller användaren [27]. Dessa funktioner kan exempelvis vara att läsa användarens kontakter eller att koppla upp sig mot internet. En applikation kan dock be om tillst˚and att använda dessa funktioner genom att specificera detta i AndroidMani-fest.xml2. Vid installation av applikationen f˚ar användaren bekräfta om applikationen ska f˚a använda dessa funktioner, om användaren väljer att inte godkänna detta utförs ingen installation. Det finns ingen möjlighet att dynamiskt ändra vilka tillst˚and en applikation f˚ar använda, en applikation ¨

ar allts˚a bundet till de tillst˚and som godk¨ants vid installationen.

Att godkänna ett tillst˚and innebär att applikationen har till˚atelse att använda den resurs och/eller funktion som är kopplad till tillst˚andet. Hur resurserna sedan används ligger utanför Androids säkerhetsmodell. En ap-plikation som har tillst˚and att initiera samtal kan till exempel använda detta för att ringa till dyra betalnummer utan användarens vetskap. D¨ ar-för ligger mycket ansvar p˚a att användaren är kritisk till vilka tillst˚and en applikation verkligen behöver. Ett tetrisliknande spel kanske inte behöver ha till˚atelse att komma ˚at telefonboken.[19]

3.2.2 Kodsignering

Operativsystemet delar upp systemet i tv˚a delar, kod som tillhör systemet och resterande applikationer. För att applikationer ska f˚a installeras m˚aste de vara signerade med ett certifikat. Certifikatet behöver inte vara signerat av en betrodd 3:e part (en s˚a kallad certifieringsutgivare) utan egensigne-rade certifikat är till˚atna. Signeringens syfte är att identifiera och verifiera applikationens utgivare. Applikationer med samma namn och signerad med samma signatur identifieras som exakt samma applikation. Vid den första

(29)

18 3.2. Androids s¨akerhetsmodell

installationen bestäms sökväg, användarid (UID)och gruppid (GID). Vid senare installationer kommer applikationen tilldelas samma sökväg, UID och GID. För att underlätta för utvecklare har Android ett utvecklingsl¨ a-ge som till˚ater applikationer att vara signerade med ett enklare certifikat [34]. Utvecklingsläget är avstängt som standard, inte för att det är speciellt osäkert men det ökar dock attackytan n˚agot.

3.2.3 Linuxk¨

arnans inblandning

Android använder sig av linuxkärnan. Linuxkärnan implementerar mycket av de säkerhetsfunktioner som nämns i denan rapport. Bovet (2005) [35] skriver att kärnan är av typen monolitisk kärna, vilket kortfattat innebär att den st˚ar för allt som inte de egna processerna gör, dvs exekvering av drivrutiner, minneshantering etc. Kärnan ansvarar även för filsystemet och därför spelar UID/GID en central roll i Android som dock implementerar detta lite annorlunda.

UID/GID

Ett UID eller User ID är ett nummer i ett system som unikt identifie-rar en användare. En användare tillhör ocks˚a en grupp som har ett unikt GID. UID med värdet 0 identifierar systemadministratören även kallad root. Root är en privilegierad användare med nästintill obegränsade r¨ attig-heter i operativsystemet.

Ge applikationer samma UID

En möjlighet som Android erbjuder är att ge tv˚a applikationer samma UID och vilket innebär att de kan exekveras inom samma sandbox. Appli-kationerna kan d˚a komma ˚at varandras resurser. Det möjliggör ocks˚a för applikationerna att dela process och allt annat i sandboxen. Funktionen kan utgöra en signifikant säkerhetsrisk, det finns dock vissa krav som m˚ as-te uppfyllas: För att tv˚a applikationer ska f˚a dela UID m˚aste dessa vara signerade utav samma utvecklarcertifikat. Vidare m˚aste de ocks˚a explicit specificera ett UID i respektive AndroidManifest.xml.

(30)

R¨attigheter f¨or filer och enheter

Fr˚an UNIXvärlden finns ett begrepp som fortfarande lever vidare i Linux och det är ”In UNIX everything is a file”[36]. Detta gör att filrättigheter spelar en väldigt central roll d˚a dessa även gäller för till exempel enheter. Linux rättigheter är enligt POSIX standarden, där varje möjlig användare delas in i tre kategorier. Användaren kan vara ägare, gruppmedlem eller resterande användare. För varje kategori kan filen ha tre olika rättigheter läs, skriv och exekvera. Skapas en fil sparar operativsystemet ner metadata och d˚a sätts ägaren till filen till det aktiva UID och gruppen till det aktiva GID.

Sandboxning genom egna anv¨andare

I persondatorer brukar ett UID definiera just en användare och alla pro-gram som den användaren kör f˚ar samma UID. En vanlig session p˚a en persondator är till exempel att användaren loggar in och startar upp n˚agra program som en webbläsare och en mailklient. De innebär att webbläsare och mailklienten kommer köras under användarens GID/UID. Detta gör att de delar läs- och fiskerättigheter till inställningsfiler och sessionsdata. Programmen har även rättigheter att exempelvis avsluta varandras proces-ser. I Android startas istället varje applikation under sitt egna UID vilket ger en väldigt stark separation mellan applikationer, processer och filer.

(31)

20 3.2. Androids s¨akerhetsmodell

(32)

Kapitel 4

Applikationen

I det h¨ar kapitlet beskrivs det system som existerar idag samt hur den ap-plikation som utvecklats till Android fungerar och passar in i det nuvarande systemet.

4.1 Syfte

Syftet med applikationen var först och främst att undersöka de delar som HOW Solutions ville ha mer information om, se sektion 1.3.1. Applikationen utvecklades ocks˚a med m˚alsättningen att utforska Android för att finna svagheter och fallgropar som kan p˚averka säkerheten.

4.2 Det befintliga systemet

Systemet best˚ar idag av en backend, en databas, mobilklienter och d¨orrl˚as som kommunicerar med varandra. En h¨ogniv˚abeskrivning av systemet kan ses i figur 4.1.

(33)

22 4.2. Det befintliga systemet

Figur 4.1: En ¨oversikt av systemet

4.2.1 Backend

Backendens syfte ¨ar att hantera autentisering, koppla ihop l˚as, brukare och telefoner samt att synkronisera data som till exempel loggar. Backend och klienterna kommunicerar via https och data formateras till JSON1. Ett generellt webbanropsfl¨ode beskrivs nedan.

1. En inloggningsf¨orfr˚agan g¨ors till en utav de webbservices som finns.

(34)

Applikationen 23

2. Backend hämtar de användaruppgifter för autentisering fr˚an databa-sen.

3. Backend kontrollerar anv¨andaruppgifterna fr˚an klienten med uppgif-terna fr˚an databasen.

4. Backend kontrollerar anv¨andarens befogenheter.

5. Ett svar genereras och paketeras som ett JSON objekt. 6. Svaret returneras till klienten.

Backendens webbservices f¨oljer designarkitekturen REST2 vilket har defi-nierat en stor del av den interna designen i applikationen.

4.2.2 Databasen

Databasen i backend är en SQL-databas. Databasen inneh˚aller information om användarna s˚asom namn, användarnamn och adress. Databasen ansva-rar även att för lagra vilken brukare som är kopplad till vilket l˚as och vilka användare som har till˚atelse att öppna l˚asen.

4.2.3 Telefonen

Telefonens funktion i systemet är att köra de olika mobilklienterna. Klien-ten finns idag till Windows mobile och till Java ME. Telefonen lämpar sig bra som klient d˚a telefonerna redan används av de anställda i tjänsten. En-heterna är n˚agot dyrare men behöver oftast inte lika mycket administration som till exempel handdatorer. Dessutom underlättar 3G-nätet kommuni-kationen med backend d˚a det oftast har mycket bra täckning.

4.2.4 L˚

aset

L˚asets uppgift är att sköta kommunikationen med mobilklienterna och att l˚asa upp de fysiska l˚asen. L˚asets h˚ardvara best˚ar av ett inbyggt system, me-kanik för att l˚asa upp l˚aset och ett batteri. Mjukvaran i l˚aset har utvecklats

2_{En akronym f¨}_{or Representational State Transfer och ¨}_{ar ett designm¨}_{onster f¨}_or

(35)

24 4.2. Det befintliga systemet

tidigare. Kommunikationen mot det inbyggda systemet sker över Bluetooth där l˚aset enbart stödjer protokollet RFCOMM, vilket är ett väldigt simpelt protokoll som även kallas seriell port över Bluetooth. En viktigt detalj vid kommunikationen med l˚aset var att parning av enheterna inte skulle kr¨ a-vas. Denna funktionalitet dök upp i Androids API niv˚a 10. I figur 4.2 visas den dörr som användes för utveckling.

Figur 4.2: Utvecklingsd¨orren p˚a utsidan

4.2.5 Loggning

Loggningen är en viktigt del av systemet. Det är funktionalitet som är betydligt sv˚arare och mer manuellt i ett traditionellt system med fysiska nycklar. Den mesta loggningen sker i backend för att minska tilliten till kli-enterna. De loggarna klienten m˚aste ansvara för är kommunikationen med l˚asen. Dessa loggar synkroniseras sedan mot backend för att öka sp˚ arbar-heten.

(36)

Applikationen 25

4.2.6 Uppl˚

asningsf¨

orfarande

1. En anv¨andare kommer till en d¨orr som har ett av speciall˚asen instal-lerat.

2. Anv¨andaren loggar in med sina anv¨andaruppgifter p˚a klienten.

3. Backend autentiserar anv¨andaren.

4. En lista med l˚as som anv¨andaren har till˚atelse att l˚asa upp skickas till klienten.

5. Användaren väljer det l˚as som skall öppnas och klickar p˚a l˚as upp.

6. Klienten startar d˚a en kommunikation med l˚aset och skickar ¨over ett l˚as upp-kommando.

7. Om l˚as upp-kommandot ¨ar korrekt vibrerar telefonen och l˚aset g˚ar att ¨oppna.

Klienten m˚aste ha tillg˚ang till internet för att kunna logga in och hämta de olika l˚asen. Efter dessa steg finns dock möjligheten att använda sig av applikationen i ett offlineläge genom att genera och synkronisera ner kryptonycklar i förtid. Det kan vara nödvändigt om vissa brukare bor s˚a att telefonerna inte har täckning.

4.3 Den utvecklade applikationen

Den applikation som utvecklades under examensarbetet är en begränsad version utav de klienter som redan existerar för andra plattformar. Det undersöktes ej hur klienterna för Windows Mobile och Java var program-merade. Applikationen utvecklades istället utifr˚an en mer generell program-beskrivning. För att kunna utnyttja plattformen p˚a bästa sätt l˚ag fokus i början av utvecklingen p˚a att först˚a Android och dess funktionen. Nedan beskrivs kort de delar i applikationen som utvecklades.

(37)

26 4.3. Den utvecklade applikationen

4.3.1 Inloggning

En användare loggar in med sitt användarnamn och sitt lösenord p˚a n˚agon utav de telefoner som finns tillgängliga. En användare behöver allts˚a inte ha en individuell telefon. Däremot är varje telefon bara kopplad till l˚as inom ett distrikt. Telefonen identifieras via sin bluetoothsadress som är unik för varje telefon. Autentisering av användarna sker via ett anrop backend och efter autentisering f˚ar användaren tillg˚ang till de resterande delar i applikationen. För att snabba upp inloggningen s˚a sparas användardata p˚a telefonen. Denna data är sparad tills en ny användare loggar in, däremot sker alltid autentiseringen i backend. Hur inloggningsrutan ser ut kan ses i figur 4.3.

(38)

Applikationen 27

4.3.2 Inst¨

allningar

En inställningssida, där telefonspecifika inställningar ska kunna sparas, ut-vecklades. En inställning som fanns i de tidigare applikationerna var m¨ oj-ligheten att välja spr˚ak. I Android finns funktionen att vid utvecklandet skapa individuella resursmappar för olika spr˚ak vilket kan ses i figur 4.4[37].

Figur 4.4: Resursmapparna f¨or engelska, finska och svenska

Vilken resursmapp som väljs baseras p˚a objektstypen Locale som in-neh˚aller information om vilket land och vilket spr˚ak telefonen befinner sig i[38]. Genom att ändra vilken Locale som skall användas kan applikationen, utan att behöva ändra i källkoden, visa strängar i olika spr˚ak. I figur 4.5 ges exempel p˚a tv˚a resurssträngar i Android, en engelsk och en svensk. Ge-nom att referera till strängarnas namn i koden väljs rätt sträng beroende p˚a vilket spr˚ak som är valt.

(39)

28 4.3. Den utvecklade applikationen

4.3.3 L˚

aslista

När inloggning har skett visas en lista med de l˚as som användaren har till˚atelse att öppna. Denna lista synkroniseras med jämna mellanrum mot servern s˚a att användaren alltid har senaste l˚aslistan. L˚asen sparas i en SQLite-databas p˚a telefonen via en “content provider” som beskrivs i sek-tion 3.1.1. Varje l˚as representeras av en textsträng som är namnet p˚a den brukare eller den adress som är kopplad till l˚aset.

Intill varje l˚as finns en knapp för att l˚asa upp respektive l˚asa. När användaren klickar p˚a knappen startar en uppl˚asning respektive l˚asning.

En designprincip som använts vid presentation l˚aslistan är att inte skapa upp nya objekt för varje element i listan. Istället ˚ateranvänds det objekt som försvann fr˚an skärmen och inneh˚allet samt vilket element som detta refererar till ändras. Detta rekommenderas av Google för att snabba upp listhantering och för att spara minne [39].

4.3.4 Uppl˚

asning

Det första som användaren behöver göra är att röra handtaget för att star-ta elektroniken p˚a insidan av dörren. När elektroniken i dörren är ig˚ang kan användaren starta kommunikationen med l˚aset. Ett meddelande krypterat med l˚asets publika nyckel hämtas fr˚an backend. I meddelandet meddelar backend om användaren har behörighet att öppna l˚aset eller inte. Anv¨ an-daren f˚ar feedback genom en animation som visar när de olika delarna i uppl˚asningsprocessen utförs och när de är klara visas en grön bock. D˚a kan användaren trycka ner handtaget och dörren g˚ar att öppna. Om n˚agot steg inte g˚ar att utföra visas istället ett rött kryss.

(40)

Kapitel 5

Resultat och analys

I detta kapitel presenteras resultatet fr˚an litteraturstudien, abuse case-framst¨allningen, kravutformningen och riskanalysen med avseende fr˚ age-st¨allningarna.

5.1 Identifierade s¨

akerhetsproblem

Flera identifierade säkerhetsproblem upptäcktes under implementation och förberedelsearbete. Dessa beskrivs närmare i denna sektion.

5.1.1 Rootning

Rootning som begrepp innebär att skaffa sig tillg˚ang till administrat¨ orskon-tot root. För angripare är tillg˚ang till rootkontot bland de äldsta motiven just för att i princip allt är till˚atet för rootanvändaren. Standardinst¨ all-ningen i Android är att rootkontot är inaktiverat, vilket är en intressant designlösning. Det gör android till ett multianvändarsystem utan en ak-tiv rootanvändare vilket gör att sandboxningen är mycket stark. P˚a grund av detta finns det starka motiv för en angripare att aktivera rootkontot. Vanliga användare kan ocks˚a göra detta frivilligt för att f˚a tillg˚ang till l˚ast funktionalitet.

(41)

30 5.1. Identifierade s¨akerhetsproblem

Det är sv˚art att skydda sig mot användare som aktivt och öppet väljer att roota sin telefon. I nya versioner av Android har nyheterna ofta varit funktionalitet som var möjligt om användaren hade en rootad enhet och p˚a s˚a sätt har incitamentet för att l˚asa upp rootanvändaren minskat. För angripare som är kunniga p˚a Linuxkärnan, blir även Android en välkänd attackyta. Attackmöjligheterna skiljer sig inte speciellt mot andra opera-tivsystem. Standardattacker som buffer overflow och race condition gäller ¨

aven för Android. Det är även fullt möjligt att säkerhetsh˚al för Linuxkärnan som upptäcks i andra sammanhang ocks˚a kan vara aktuella säkerhetsh˚al till Android. Det finns kända attacker [40] mot Android där man har utnyttjat kända säkerhetsh˚al för att skaffa sig root utan att användaren upptäcker attacken.

5.1.2 Loggning

En viktig del av p˚alitligheten i ett system är att man kan följa h¨ andel-seförloppet genom loggning. Därför är det mycket viktigt att integriteten p˚a loggningen är hög. Ett potentiellt problem som lätt kan förbises vid designandet av loggningsfunktionen är att ett program kraschar efter att den utfört sin uppgift men innan loggning hunnit att ske. I den utvecklade applikation skulle detta kunna vara att en uppl˚asning av en dörr utförs men att applikationen sedan kraschar innan en skrivning till loggen skett p˚a grund av att telefonens minne är fullt exempelvis. I praktiken kan man d˚a l˚asa upp dörrar utan att lämna loggar efter sig. I detta fall är det allts˚a viktigt att loggning sker innan till exempel en uppl˚asning utförs.

Att sänka tillgängligheten p˚a applikationen, genom att den slutar fun-gera om möjligheten att skriva till loggen inte finns, är en rimlig lösning. Likväl om applikationen inte kan synkronisera loggarna tillbaka till serven inom till exempel 4 timmar borde användaren informeras och applikationen sluta fungera.

5.1.3 R¨

attigheter f¨

or filer och databaser

En viktig säkerhetsaspekt i de flesta system är att ˚atkomst till filer och funktioner endast är till˚atet för de som har rätt till det. I Android är det

(42)

Resultat och analys 31

viktigt att de rättigheter som sätts p˚a de filer som ska vara privata för applikationen är rätt. Filer kan ha tre olika rättigheter.

MODE PRIVATE Med denna r¨attighet kan endast den egna applikatio-nen, eller en applikation med samma UID, l¨asa och skriva till filen.

MODE WORLD READABLE Med denna r¨attighet kan alla andra

applikationer l¨asa filen men inte skriva till den.

MODE WORLD WRITEABLE Med denna r¨attighet kan alla

appli-kationer i systemet b˚ade l¨asa och skriva till filen.

En databas i Android lagras som en fil och rättigheter till denna ges p˚a samma sätt som till filerna. Om en utvecklare slarvar och sätter fel rättigheter p˚a filer eller databaser kan detta leda till att information stjäls eller att n˚agon helt enkelt ändrar informationen och d˚a spelar det ingen roll hur stor säkerheten är i applikationen i övrigt.

Nyligen upptäcktes det att information fr˚an Skypes androidapplikation kunde läcka till obehöriga [41]. Orsaken var d˚aligt satta rättigheter p˚a databaserna som hanterade användarnas uppgifter. Istället för att endast skypeapplikationen hade tillg˚ang till databasen, allts˚a att rättigheten ”MO-DE PRIVATE” valts, hade samtliga applikationer läsrättigheter och kunde därför potentiellt läsa ut data fr˚an databasen. Datan i databasen var ocks˚a lagrad okrypterad. En svaghet som detta borde s˚aklart ha upptäckts innan applikationen släppts. Här hjälper metoder som exempelvis STRIDE till att upptäcka förekomster av enkla men allvarliga svagheter som denna.

5.1.4 Androids aktivitetsstack

När en ny aktivitet startas i Android läggs den p˚a en aktivitetsstack som hanteras av operativsystemet. Den aktivitet som senast körde ligger d˚a kvar under den nya aktiviteten och när den nya aktiviteten p˚a n˚agot sätt avslutas, ˚aterupptas den aktivitet som nu ligger högst upp p˚a stacken. Ett sätt att avsluta en aktivitet är att använda den bak˚atknapp som finns p˚a m˚anga androidtelefoner.

Här har vi upptäckt ett möjligt säkerhetsproblem. Ponera att en ap-plikation har en inloggningsfunktion. När användaren loggat in används

(43)

32 5.1. Identifierade s¨akerhetsproblem

applikationen p˚a korrekt sätt och användaren loggar sedan ut och appli-kationen ˚aterg˚ar d˚a till inloggningsskärmen. Om användaren d˚a trycker p˚a bak˚atknappen kan senast använda aktivitet visas för användaren. Det-ta kan d˚a vara en aktivitet som inte avslutades när användaren loggade ut fr˚an applikationen vilket eventuellt kan leda till att applikationen kan användas trots att användaren egentligen är utloggad. Det är viktigt att tänka p˚a hur Android hanterar aktiviteter och tjänster s˚a att problem som dessa inte uppst˚ar. Det finns vissa sv˚arigheter med att lösa detta problem. En lösning p˚a detta är dock att använda sig av en intentflagga som heter ”FLAG ACTIVITY CLEAR TOP” när startaktiviteten anropas[42]. Den-na flagga innebär att alla aktiviteter som ligger över den anropade aktivi-teten avslutas och den anropade aktiviaktivi-teten hamnar högst upp p˚a stacken. Genom att utföra omfattande tester vid utveckling av applikationer som gör undantag fr˚an Androids standardhantering av aktiviteter kan liknande problem upptäckas tidigt under utvecklingen och inte när applikationen är släppt.En god först˚aelse för hur Androids aktivitetscykel och aktivitetshan-tering rekommenderas ocks˚a.

5.1.5 SQL-injektion

D˚a varje applikation har tillg˚ang till en sqldatabas är attacken aktuell. En SQL-injektionattack är en attack som utnyttjar d˚aligt saniterad indata och använder indatan i fr˚agor mot databas. Genom välutformad indata kan en anfallare plocka ut eller ändra data i databasen. Ett exempel visas nedan [43][44]. Tanken med följande query är att f˚a ut användardata fr˚an användartabellen för det username som anges.

q u e r y = ”SELECT * FROM u s e r s WHERE name =” + username + ” ; ”

Om en användare skriver in användarnamnet som ‘ or ‘1’ = ‘1 resulterar detta istället i att all användardata returneras.

SELECT * FROM u s e r s WHERE name = ”” or 1=1;

I Android, liksom i m˚anga andra moderna system, mitigeras attackerna genom funktionalitet för att hjälpa programmeraren att utforma sql fr˚agor och att sanera indata. Det är viktigt d˚a det kan vara m˚anga steg mellan skapande av databasfr˚agan och exekveringen av fr˚agan. Ett vanligt exem-pel är att kommunikation sker indirekt med en databas via en content

(44)

resolver som i sin tur kommunicerar med en content provider. Ett viktigt verktyg i kampen mot SQL-injektion är funktionen query i SQLiteQuery-Builder. Denna funktion använder sig av parametrisering av sql-argument. Parametrisering innebär att de argument som används för att utföra se-lektionen jämförs i sin helhet och kan allts˚a inte tolkas som ytterligare SQL-kommandon.

För att hjälpa till med sanering av indatan finns funktionen append-WhereEscapeString i SQLiteQueryBuilder [45]. Denna funktion saniterar strängar fr˚an escape tecken.

Genom att använda sig av Androids inbyggda lösningar kan man f¨ or-sv˚ara utförandet av SQL-injektionsattacker. Attacken kan även ske mot den server som applikationen kommunicerar med och nödvändiga ˚atgärder bör göras även p˚a denna del av systemet.

5.1.6 Gamla versioner

Ett problem är att m˚anga telefoner kör gamla versioner av Android som eventuellt har kvar gamla svagheter. En stor orsak till detta är att det är tillverkarna av telefonerna som har ansvar för att skicka ut uppdateringar till telefonerna. Flera tillverkare prioriterar inte uppdateringar för äldre telefonmodeller

5.2 Hj¨

alpmedel

I detta avsnitt beskrivs n˚agra av de hjälpmedel som kan utnyttjas av ut-vecklare för att öka säkerheten p˚a applikationerna.

5.2.1 Obfuskering

All kod g˚ar att dekompilera för att kunna se hur applikationen är byggd. Obfuskering döper om variabler till oigenkännlighet, tar bort död kod och tar bort alla kommentarer. Koden kommer inte att bli omöjlig att läsa men det kommer att ta betydligt längre tid. Eftersom obfuskering hänger starkt ihop med spr˚ak och byggprocessen har endast obfuskering rörande androidplattformen berörts.

(45)

34 5.2. Hj¨alpmedel

ProGuard

Det obfuskeringsverktyg som Android har valt att integrera heter ProGu-ard. Det är ett öppenkällkodsprojekt och har funnits längre än Android och fungerar för Java i allmänhet. ProGuard följer med bland Androids utvecklingsverktyg och integreras väl med resten av processen som är au-tomatiserad om man använder till exempel Eclipse som utvecklingsmiljö. När ProGuard är aktiverat körs classfilerna ett varv genom ProGuard innan de översätts till dexfiler. Det här gäller bara när applikationen är i s˚a kallat releaseläge och inte i utvecklingsläge d˚a obfuskering försv˚arar debuggning.

Hur stor skillnad g¨or obfuskering

En del av koden ur den applikation som utvecklades kan ses nedan. ¨Overst visas originalk¨allkoden, i mitten en uppackad apkfil utan obfuskering och sest en uppackad apkfil med obfuskering.

// S e t v a r i a b l e s s a l t T a s k = new S a l t H e l p e r ( ) ; l o g i n T a s k = new L o g i n H e l p e r ( ) ; Button btn = ( Button ) f i n d V i e w B y I d (R . i d . l o g i n b u t t o n ) ; u s e r n a m e E d i t T e x t = ( E d i t T e x t ) f i n d V i e w B y I d (R . i d . l o g i n u s e r n a m e e d i t t e x t ) ; Button l o c a l B u t t o n = ( Button ) f i n d V i e w B y I d ( 2 1 3 1 3 6 1 8 1 9 ) ; E d i t T e x t l o c a l E d i t T e x t 1 = ( E d i t T e x t ) f i n d V i e w B y I d ( 2 1 3 1 3 6 1 8 1 5 ) ; t h i s . u s e r n a m e E d i t T e x t = l o c a l E d i t T e x t 1 a l o c a l a = new a ( ) ; t h i s . e = l o c a l a ; c l o c a l c = new c ( ) ; t h i s . f = l o c a l c ; Button l o c a l B u t t o n = ( Button ) f i n d V i e w B y I d ( 2 1 3 1 3 6 1 8 1 9 ) ; E d i t T e x t l o c a l E d i t T e x t 1 = ( E d i t T e x t ) f i n d V i e w B y I d ( 2 1 3 1 3 6 1 8 1 5 ) ; t h i s . b = l o c a l E d i t T e x t 1 ;

Som exemplet ovan visar är koden fortfarande relativt läsbar. Namn-valen försvinner vilket försv˚arar läsandet. Dock är alla externa API-anrop fullt läsbara. S˚a obfuskeringen i ett starkt typat spr˚ak som Java är inte speciellt effektiv. Aktiveringen av ProGuard är dock enkel och en utveckla-re bör använda denna funktion. Utvecklaren bör vara medveten om graden av obfuskering.

(46)

5.2.2 St¨

od f¨

or kryptering

Kryptering är en säkerhetsfunktion som används för att skydda sig mot tjuvlyssning av data men ocks˚a mot oönskad manipulering. I systemet har fyra olika delar för vilket behovet av kryptering har identifierats. Kommu-nikationen med servern, inställningsfiler, den lokala databasen och kommu-nikation med l˚aset.

För kryptering av kommunikation är krypteringen redan definierade av det befintliga systemet. Protokollet för kommunikation med servern sker i SSL/TLS där Android har ett välutvecklat stöd. Android API skeppas med Apaches httpklient, vilket är en klient som är flera ˚ar äldre än Android [46]. Applikationen hanterar data som är intressant att h˚alla hemlig till exempel användaruppgifter och kryptonycklar till l˚asen men applikationen skickar även hem loggar där integriteten är prioriterad. D˚a är SSL/TLS bra d˚a det stödjer autentisering av servern, krypterar data samt skyddar data fr˚an manipulering. L˚asets kryptering är inget som stöds direkt av Android utan kräver ett tredjepartsbibliotek. Biblioteket som använts heter Bouncy Castle1[47] som stödjer ett flertal av krypteringsalgoritmer. Bouncy Castle ansvarar för kryptering över den okrypterade Bluetooth kopplingen gentemot l˚aset. Det var ett krav d˚a l˚aset bara kommunicerade krypterat.

Kryptering av lagrad data är ett svagt skydd. Nyckeln m˚aste finnas i applikationen vilket gör det fullt möjligt att dekompilera applikationen och utläsa nyckeln. Det skulle skydda mot program som till exempel massinsam-lar information men har lyckats ta sig runt sandboxningen. För kryptering av filer har inte Android n˚agon eget utvecklat utan använder sig av javas stöd via javax.crypto. Bouncy Castle är ett rimligt alternativ speciellt d˚a det redan används i applikationen. Kryptering av databasen finns det inget inbyggt stöd för. Det finns n˚agra trejdepartslösningar [48] som borde g˚a att f˚a kompatibla, men v˚ar uppfattning är att det krävs mycket arbete. En annan lösning är att kryptera texten innan den lagras till databasen, här kan dock datamängden öka väsentligt. Ett test utfördes genom att kryp-tera en 50 tecken l˚ang sträng med algoritmen Blowfish. Den krypterade strängen resulterade i en 96 tecken l˚ang sträng. Eftersom SQLitedataba-sen som skeppas med Android har en begränsning p˚a att storleken inte f˚ar ¨

overstiga 1 MB ¨ar detta ett relevant problem. Blowfish ¨ar en symmetrisk

(47)

36 5.3. Distribution

kryptering s˚a storleksbegränsningen blir mer aktuell om en asymmetrisk algoritm används istället. Kryptering av fält i databasen är möjligt och beror p˚a mängden data, storlek p˚a nycklar och val av algoritm.

5.3 Distribution

HOW Solutions var intresserade av alternativ till Android Market. I det här stycket undersöks n˚agra olika sätt för att distribuera applikationen. Ur ett säkerhetsperspektiv är det viktigt med en väl definierad infrastruktur för att kunna uppdatera klienterna.

5.3.1 Nackdelar med Android market

Det som gör market oattraktivt för företagsapplikationer är att det p˚a market inte g˚ar att begränsa vilka som ska f˚a ladda ner applikationerna2. Vid rapportens skrivande finns det ingen rättighetsmodell utan en appli-kation är tillgänglig för alla [50]. Företag kan ha ett intresse att deras företagsapplikationer inte sprids öppet. En annan begränsning p˚a market ¨

ar att anv¨andarna m˚aste vara kopplade till ett googlekonto.

5.3.2 Krav

HOW Solutions ville att plattformen skulle stödja vissa delar med avseen-de p˚a distribution. Ett krav var att det ska g˚a att automatisk uppdatera applikationen. Vid en ny version av applikationen ska enheterna ladda ner och installera den nya versionen. Installationen av den nya versionen bör vara osynlig för användarna.

Ett annat krav var möjligheten att kunna skicka ut telefonspecifika ap-plikationer. Det innebär att en inställningsfil inneh˚allande unik data för enheten m˚aste inkluderas i installationsfilen.

Det sista kravet var att centralt kunna skicka applikationen till en ny telefon utan att fysiskt beh¨ova hantera telefonen.

2_{Man kan vid utveckling av applikationen definiera vilka krav som m˚}_{aste uppfyllas}

av telefonen som ska köra applikationen. Detta kan vara exempelvis mjukvaruversion, skärmstorlek eller touchskärm. Detta är dock inte användbart i detta fall [49].

(48)

5.3.3 Automatiskt uppdatering

Tv˚a möjliga lösningar för automatisk uppdatering identifierades. Anting-en sköter varje applikation sina egna uppdateringar eller s˚a ansvarar en separat applikation för att sköta de andra applikationernas uppdateringar likt en pakethanterare. Pakethanterare lämpar sig om organisation har fle-ra olika applikationer för sina anställda. Eftersom det för tillfället bara var aktuellt med en applikation valdes lösningen med att applikationen sk¨ ot-te uppdaot-teringen själv. Lösningen var att rikta ett Intent.ACTION VIEW mot application/vnd.android.package-archive. Android ger applikationen en tydlig kommunikationskanal mot systemets installationsprogram. Det gick inte att f˚a uppdateringen osynligt mot användaren vilket b˚ade kan va-ra en fördel och en nackdel. När installationsprogrammet tar över s˚a krävs godkännande av användaren vid installationen även om det bara är en ny version av applikationen.

5.3.4 Telefonspecifika installationsfiler

HOW Solutions har implementerat denna säkerhets˚atgärden i sitt nuvaran-de system. Tanken är att applikationen ska paketeras med telefonspecifika inställningar innan den distribueras till telefonen. Om applikationen körs p˚a en annan telefon än applikationen var byggd för s˚a ska applikationen varna och sluta fungera. Det finns inte n˚agon färdig lösning likt lösningen i J2ME. I J2ME var det möjligt att ha en separat fil kallad Java Application Descriptor (JAD) där inställningar för programfilen kunde genereras innan applikationen distribuerades.

I ett tidigare stycke presenterades hur paketeringen för Android g˚ar till se sektion 3.1.5. Det är fullt möjligt att bygga en lösning med liknade resultat som i den befintliga lösningen. De telefonspecifika inställningarna m˚aste dock läggas in i själva installationspaketet vilket gör att det för¨ andra-de paketet m˚aste signeras. Signeringen kräver att den privata nyckeln samt lösenordet m˚aste vara tillgängligt för distributionsservern vilket minskar säkerheten runt nyckelhanteringen. Detta är en mycket stor risk och en annan lösning vore att föredra.

(49)

38 5.3. Distribution

5.3.5 Initialinstallation fr˚

an en centralpunkt

Kravet är väldigt beroende p˚a befintlig infrastruktur i organisationen. Tv˚a olika kommunikationsvägarna var relevanta och dessa var e-post och SMS. Den mest tillgängliga tekniken är SMS d˚a varje enhet m˚aste vara upp-kopplad mot mobilnätet och där igenom stödjer enheten SMS automatiskt. Däremot m˚aste inte varje enhet ha ett epostkonto inkopplat. SMS har ock-s˚a fördel av att vara krypterad[51] per automatik till skillnad fr˚an epost. Nackdelen med SMS är att varje SMS har en kostnad knuten till sig till skillnad fr˚an epost. Oavsett teknik föresl˚ar vi att distributionen sker via utskick av en nedladdningslänk. Det medför mindre exponering av instal-lationsfilen.

5.3.6 S¨

akerhetsaspekter p˚

a designf¨

orslag

Automatiska uppdateringar öppnar för nya attacker genom att byta ut uppdateringen mot skadlig kod. Därför är det lämpligt att verifiera signatu-rerna. Signaturen kan verifieras p˚a servern. En kontroll av den nedladdade uppdateringens signatur innan apkn lämnas över till installationsprogram-met bör ocks˚a utföras. Även om Android skulle skilja p˚a den installera-de applikationen och en utbytt applikation via installera-deras signaturer s˚a skulle Android inte kunna upptäcka att det är skadlig kod. Applikationen skulle d˚a installeras som en ny applikation istället för att ersätta den gamla.

(50)

Kapitel 6

Diskussion

I detta kapitel diskuteras resultatet i f¨oreg˚aende kapitel och f¨orslag p˚a vi-dare studier ges.

6.1 Diskussion av resultatet

Det största säkerhetshotet mot företagsapplikationer p˚a Android är att en-heten p˚a n˚agot sätt rootas. I en rootad telefon har användaren tillg˚ang till root-användaren som har fullständiga systemrättigheter. Det är inte själva rootningen i sig som hotar applikationen utan bristen p˚a begränsningar för rootkontot som möjliggör applikationer att utföra annars otill˚atna aktivite-ter. Företagetapplikationer bör ej lita p˚a operativsystemet och sin privata data om 3:e parts applikationer kan f˚a tillg˚ang till rooträttigheter. Det är ytterst sv˚art att säkerställa integriteten eller konfidentialiteten i det fallet. Google har i de senare versionerna av Android öppnat för funktionali-tet som inte varit tillgängligt tidigare men som har varit möjligt med en rootad telefon. Ett exempel p˚a detta är att lagra och köra applikationer fr˚an minneskortet. Det kan dock diskuteras om detta har att göra med att Google vill minska anledningarna för att roota telefonen eller om de helt enkelt ger användarna vad de vill ha. Oavsett motiv är detta en positiv utveckling och det är viktigt att minska incitamentet för rootning.

(51)

40 6.1. Diskussion av resultatet

Ett stort problem är att m˚anga av de telefoner som finns p˚a marknaden fortfarande kör p˚a gamla versioner av Android och därmed fortfarande kan ha kvar allvarliga säkerhetsh˚al. Det ˚aligger telefontillverkaren att släppa de nya versionerna till deras telefoner. Att dessa uppdateringar även kommer ut till gamla telefoner är mycket viktigt och en förbättring av detta är välkommet.

Kryptering i Android, speciellt med avseende p˚a databasen, är omst¨ an-digt.Här finns det möjlighet att förenkla och hjälpa utvecklarna att lyckas med implementationen. Genom att implementera denna funktionalitet i API:et ökar kan utvecklare f˚a bättre stöd. Ett säkerhetsläge för applikatio-ner likt möjligheten att lagra applikationen p˚a minneskortet men d˚a istället lagra p˚a en krypterad partition är ocks˚a en intressant lösning.

Utvecklaren f˚ar ett bra stöd fr˚an operativsystemet. Androids sandbox-ning är genomarbetad och stark. Säkerhetskedjan som bildas genom m˚anga olika lager gör att säkerheten är hög. Kravet p˚a signering av applikationer används för att starkt knyta ihop utvecklaren och applikationen. Varje applikation körs som en egen användare med följden att linuxkärnans mul-tianvändarstöd skyddar filsystem, processer och sessionsdata. Sista delen i kedjan är systemets nya funktionalitet för att kommunicera med “content providers” och liknade. Kedjan avlastar utvecklaren men ansvar ligger fort-farande kvar hos utvecklaren som har möjlighet att bryta sandboxningen. Utvecklarnas ansvar är, som s˚a ofta i säkerhetsarbete, att undvika slarv. Att bygga mjukvara är sv˚art och kan STRIDE användas som metod för att minska slarvet och systematisera säkerhetsarbetet. Även om diskussionsfr˚ a-gorna inte var specifika för Android var detta ett bra hjälpmedel.

Distribution av applikationen till enheterna fungerar tillfredsställande för företagsapplikationer. Androids lösning var öppen och flexibel och m¨ oj-ligt att bygga egna lösningar med integration mot befintlig infrastruktur ¨

ar antagligen möjlig i de flesta fall. Applikationens signatur är det viktiga för operativsystemet. Därför är det väldigt viktigt att skydda den privata nyckel och därför bör den privata nyckeln inte vara lagrad p˚a media som ¨

(52)

Diskussion 41

6.2 Vidare studier

Under arbetets g˚ang har säkerhetsproblem identifierats genom att studera litteraturen samt utförande av säkerhetsmetoder under kravframställning och design.. Ett intressant omr˚ade för vidare studier är att istället un-dersöka säkerheten i en redan utvecklad applikation genom att till exempel använda sig av penetrationstestning. En studie som syftar till att undersöka vilka säkerhetsmetoder som kan användas vid utveckling av mobilapplika-tioner hade ocks˚a varit intressant. Den litteratur som finns att tillg˚a vid skrivandets stund är tunn och därför vore det intressant med fler artiklar ang˚aende ämnet.

Det hade ocks˚a varit intressant med en mer omfattande jämförelse mel-lan de tre stora mobilplattformarna: Android, iOS och Windows Phone 7 med avseende p˚a säkerheten. En undersökning med fokus p˚a distribution av applikationer och program hade ocks˚a varit intressant.

(53)

Litteraturf¨

orteckning

[1] P1-Morgon. Mobil os¨akerhet. http://sverigesradio.se/sida/ artikel.aspx?programid=1650&artikel=4343964, februari 2011. H¨amtad 2011-03-05 09:00.

[2] SONIA KOLESNIKOV-JESSOP. Hackers go after the

smartp-hone. http://www.nytimes.com/2011/02/14/technology/

14iht-srprivacy14.html?_r=1&scp=4&sq=smartphones&st=cse, februari 2011. H¨amtad 2011-05-03 09:00.

[3] Software Security: Building security in. Addison-Wesley, 2006.

[4] Chris McDermott, John & Fox. Using abuse case models for security requirements analysis. In Proceedings of the 15th Annual Computer Security Applications Conference, pages 55–66. ACSAC, IEEE Com-puter Society, 1999.

[5] Andreas L Sindre, Guttorm & Opdahl. Capturing security require-ments through misuse cases. Norsk informatikkonferanse, 2001. [6] Andreas L Sindre, Guttorm & Opdahl. Eliciting security requirements

with misuse cases. Requirements Engineering, 10(1):34–44, January 2004.

[7] Writing effective use cases. Addison-Wesley, 2001.

[8] Nancy R Mead. Security quality requirements engineering (square) methodology. In ACM SIGSOFT Software Engineering Notes.