android'de parmak kaldırmadan konusmak - İzinsiz uygulamda İzin kullanmak siber güvenlik...
TRANSCRIPT
![Page 1: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/1.jpg)
Android’de Parmak Kaldırmadan Konuşmak
#SiberGüvenlikKonferansı’14!
@OguzhanTopgul
![Page 2: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/2.jpg)
# whoamiOğuzhanTopgül
Uzman Araştırmacı @Siber Güvenlik Enstitüsü
• Mobil Güvenlik
• Mobil Zaralı Yazılımlar
• Web Güvenliği
OWASP-Türkiye - webguvenligi.org
BGK - bilgiguvenligi.gov.tr
Blog - oguzhantopgul.com
![Page 3: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/3.jpg)
Android İzin Modeli• Korunan kaynaklara erişim OS
üzerinden olur.• Korunan kaynaklara erişim
için izin talep edilmelidir.• İzinler toplu olarak verilir ve
geri alınamaz.• Uygulama kaldırıldığında
verilen tüm izinler kaldırılır.
![Page 4: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/4.jpg)
AndroidManifest.XML
![Page 5: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/5.jpg)
Android İzin Seviyeleri
• Normal: Kullanıcıya ciddi bir zarar vermeyecek izinler.(duvar kağıdı değiştirmek vb.) Kullanıcı onayı alınmaz.
• Dangerous: Kullanıcıya zarar verebilecek izinler. Maddi karşılığı olabilecek izinler (SMS, telefon, internet). Kullanıcı onayı gerekir
• Signature: Aynı geliştirici sertifikasıyla imzalanmış uygulamalarda kullanıcıya sorulmadan otomatik olarak izinler verilir.
• Signature/System: Signature seviyesi ile aynı. Android system imajı içerisindeki uygulamalara ait haklar için de kullanıcı onayı alınmamasını sağlar.
![Page 6: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/6.jpg)
Android Uygulama Komponentleri
• Activity: Uygulamanın her bir ekranı
• Service: Arka planda (uzun süreli) çalışan uygulamalar. Kullanıcı arayüzü yoktur.
• Broadcast Receiver: Sistem geneli broadcast’leri yakalayan ve aksiyon gösteren komponent.
• Content Provider: Uygulama verilerinin paylaşılmasını ve erişilebilir olmasını sağlayan komponent.
![Page 7: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/7.jpg)
Android İzin Tanımlama• Android KitKat 4.4 - API Level 19: 145 izin bulunuyor.*
• Uygulamaya ait komponent izin tanımlanarak korunabilir.
* http://developer.android.com/reference/android/Manifest.permission.html
![Page 8: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/8.jpg)
Android Contacts/People
![Page 9: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/9.jpg)
Servisler ve Saldırı Vektörü #1
= Masum Uygulama =
<uses-permission "READ_CONTACTS" /><uses-permission "INTERNET" />
!<service “BGService" />
!!
= Zararlı Uygulama = !!!!
İzin Kullanmıyor !!!!
servis çağrısı
![Page 10: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/10.jpg)
Servisler ve Saldırı Vektörü #2
= Uygulama 1 =
<uses-permission "READ_CONTACTS" />
!!
<service “BGService" /> !!
= Uygulama 2 = !!
<uses-permission "INTERNET" /> !
Result Receiver !!!
servis çağrısı
Telefon Rehberi
![Page 11: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/11.jpg)
Servisler ve Saldırı Vektörü #3
= Masum Uygulama =
<uses-permission "READ_CONTACTS" />
!!
<service “BGService" /> !!
= Zararlı Uygulama = !!
Result Receiver !
Implicit Web Browser Intent !!
servis çağrısı
Telefon Rehberi
![Page 12: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/12.jpg)
PoC
![Page 13: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/13.jpg)
Ekranın Kapandığını Algılama
![Page 14: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/14.jpg)
Korumasız Servisler• Android Power Widget
• GPS Service
![Page 15: Android'de Parmak Kaldırmadan Konusmak - İzinsiz Uygulamda İzin Kullanmak Siber Güvenlik Konferansı 2014](https://reader033.vdocuments.net/reader033/viewer/2022052900/55615223d8b42aa20d8b4f97/html5/thumbnails/15.jpg)
?Teşekkürler…
OWASP Türkiye Sponsorlarımız