Post on 01-Jul-2015
description
1
Mobile Security
尚玉瑋ywshang@itri.org.tw
BETA
2
2
Agenda
1. Enterprise Mobile Management
2. iOS Security
3. App SSO Concept
3
Enterprise
Mobile
Management
(1)
4
WORKPLACE HOME
Enterprise IT 採 end-to-end 方式管理電腦
Anders SandbergF. Javier Llorente, alias...
5
WORKPLACE HOME
Bring Your Own Device , BYOD Policy
Anders SandbergF. Javier Llorente, alias...
App
App
App
App App App
6
MDM
Enterprise Mobile Management
Mobile
Application
Management
Mobile
Device
Management
Mobile
Information
Management
MAMMIM
7
MDM
Enterprise Mobile Management
管理 App哪些可以安裝在行動裝置上,哪些不可以。特定App只能提供給特定人士安裝。
由企業 IT控管行動裝置。可以遠端重置系統、鎖定系統,強制套用安全設定。
確保敏感資料加密,只允許認可的程式存取資料。
MAMMIM
8
EnterpriseApp Store
(MAM)MDM
登錄使用者裝置,取得相關資訊,後續可供身分驗證使用
觀察使用者的使用狀況,亦可針對 App進行授權管理
9
MAM 相關產品
App47 Apperian AppSense
Citrix F5 Networks Fiberlink
MobileIron IBM Etc……..
10
MAM MDM
10
•Over The Air update(OTA)
•Remote Configuration and
Provisioning
•Backup/Restore
•Network Usage and Support
•Remote Lock and Wipe
•Device Provisioning
•Jailbreak Detection
•App Delivery
•App Security
•App Updating
•User Authentication
•User Authorization
•Version Checking
•Push Services
•Reporting and Tracking
Features( 僅供參考 )
11
iOS Security(2)
12
Device Data
Network App
13
Device Data
Network App
14手機內建的螢幕鎖
15
Device Security Policy
行動裝置,透過設定檔限制功能 iPhone Configuration Utility(iPCU)
16也可以直接設定
17
透過MDM管理設定檔將設定套用於手機
18
Device Data
Network App
19
遺失了手機怎麼辦 ?
20個人進行遠端重置或鎖定
21
透過MDM
遠端重置或鎖定或取消裝置註冊
22
透過MAM
取消 App使用權或刪除資料
23
KeyChain (128bit AES)可用來儲存機密資料如密碼、憑證各 App 可以有自己的 keychain ,防止其他 app 存取可以設定群組 keychain ,提供同群組 app 存取
File Encryption只能用 API 方式,讓 App 開發人員對檔案進行加解密
App 如何保護敏感資料 (iOS)
24
Jailbreak & Root
不當的權限,易造成資料外流
25
透過MAM或MDM
偵測是否有 Jailbreak
26
Device Data
Network App
27
使用者可能在機場、旅館…使用Wi-Fi連回公司
資料於傳輸過程中需要保護
28
VPN
SSL/TLS
WPA/WPA2
若是重要資料,建議採用 VPN 連線
29
Device Data
Network App
30
Android iOSWindows
Phone
各平台對於 Security 提供不同的做法reference
31
Trusted App Store
Untrusted App Store
確保 App 來自於信任的 App Store
32
惡意軟體&
惡意程式碼目前 Android Apps 比例較高
33
Browser-based attacks
Buffer overflow exploitations
Application-base attacks
PC 能作的攻擊行動,行動裝置也能
34
App Security Scan
掃描程式弱點
35
Device Data
Network App
透過MDM管理設定檔將設定套用於手機
•透過MDM遠端重置或鎖定或取消裝置註冊•透過MAM取消 App使用權或刪除資料•透過MAM或MDM偵測是否有 Jailbreak/Root
•重要資料,建議採用 VPN連線•確保 App來自於信任的 App Store•App Security Scan
36
App SSO
Concept(3)
37
SSO API
App
使用者驗證與授權 (Native)
App ServiceAPI
取得授權 Token存取資料
SSO網頁
以 HttpClient方式模擬瀏覽器進行認證呼叫 SSO API
38
App
使用者驗證與授權 (Web View)
客製網頁(受 SSO保護 )
App ServiceAPI取得授權 Token
存取資料
以WebView元件開啟特定頁面
登入成功,導向特定網頁
登入失敗,重新登入
取得使用者資料
Mobile SSO網頁
39
認證方式
1.ID/Password
2.Phone Number
3.SIM Number
4.Device ID
5.MAC address
40
授權根據
1.ID/Password
2.Phone Number
3.SIM Number
4.Device ID
5.MAC address
EMM API
App Service API
41
限制使用
1.限定網路連通時2.限定特定地理位置範圍內3.限定 VPN連線
42
Security Comparison
reference
43
END