首页
论坛
课程
招聘
[原创]android 企业级安全新思路(II)
2013-6-28 14:38 4593

[原创]android 企业级安全新思路(II)

2013-6-28 14:38
4593
前文介绍过三星的Knox。Knox需要系统定制,跨平台,跨终端比较困难。

那么有没有应用级的解决方案呢?那就是Goodness。

下面对其进行分析。下面是从其网站摘录的部分信息:

•Data in Motion – strong, over-the-air encryption protects all corporate data transmitted to and from employee devices. 传输加密,现在不传输加密都不好意思说!
•Data in Use – application-level policies allow the separation of “personal” and “corporate” data and prevent leakage from corporate apps to personal apps and public cloud services.
       两个launcher,表面上隔离出两个域,个人和企业。。号称Container,号称sandbox,其实和android自带的sanbox有区别吗?木有!!!
       双域切换有个保护口令。

•     Data at Rest – AES FIPs-certified encryption, selective data wipe, and the ability to apply enterprise-grade password policies don’t interfere with the user’s personal experience.
          企业域的应用加密,很多年前的安全邮箱就有这个功能啊。无非是上面的双域切换口令衍生一个密钥,对数据加密。

赶脚总体就是一个应用!!!其实就是一个应用啊!!!android里面的所有风险他都有了。。。

下面对其APK包进行深度分析。。。

发现的几个问题:

1、goodness采用SQLlite存储大量信息,使用SQLite  Encryption  Extension (SEE)机制进行加密。

可惜它的加密密钥在应用锁定后,一直存储在内存中。。。它的加密是通过SO完成的。使用IDA Pro就可以获取这个密钥。

结果就是一个木马即可获取全部敏感信息。

2、上面提到的加密密钥是通过口令衍生的。。但也可以被攻破

PBKDF2-SHA1 (PIn+salt)就是保护后的hash值。
hash 和 salt  也保护了。。用一个固定字符串异或了。。。 而后存储在/data/data/....xml.

剩下的就是算出口令。

3、没有root检测

4、没有anti-debug,敏感信息都存储在本地,还不anti

5、一大堆log...

6、工程师经验不足(引用360工程师对金山工程师的评价!)

•吹嘘一下我们的解决方案:

      1、也是双域,给用户只管感受的,可是我们的双域那可是隔离的,通过自定义的MAC机制(定制android内核和框架)、虚拟化等技术。

      2、对企业域的管理,个人域咱不管,管多了就没人用了。企业域现在只是隔离,要安全咋整,那就是控制软件来源,强制代码签名,自建企业应用商店。

    3、透明加密、提供基于内核的透明加密机制,应用只要安装到企业域,那就是自动加密的,应用开发者都不用操心了!!

    4、支持各种硬件密钥管理、密钥运算,比如TF加密卡等。

   5、企业数据的DLP,通过底层VPN控制,应用数据能发送到哪儿,都不是应用说了算!!必须是局长配置的IP。。

最大的亮点:

             各位局长、处长的隐私彻底解决!!艳照域自带照相机应用,个人域用无法访问,而且自动加密。以后丢了手机咱不怕,高强度自动加密!!!还配置一个个人自服务MDM管理平台,远程销毁数据!其实不销毁咱都不担心!高强度加密谁都攻不破!!!电影(手机)里面的那一幕再也不会发生了!!!

             每天回家也无需担心查岗,和情人的短信,聊天记录、通话记录,谁都看不到!!!

            只需要一个操作,那就是进行这些操作时进入艳照域即可!!!!

           从此高枕无忧,开心自拍!!!!

           美国FBI拿到您的手机照样束手无策!,除非发现AES的后门!这就好比奥巴马加入中国国籍一样不靠谱!!

   

唯一的缺点:

     部署成本较高!

[注意] 招人!base上海,课程运营、市场多个坑位等你投递!

收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回