SetupMobile.se

Trusted CA certificates can be used to perform Man-in-the-Middle (MITM) attacks (eavesdropping/modifying traffic) on SSL/TLS encrypted sessions. The integrity of SSL/TLS encrypted sessions is heavily dependent on safe handling of each trusted CA certificate. If a CA certificate gets compromised – or if it is misused, it can be used to issue a new server certificate for any DNS name (enabling a MITM scenario). A well-known example where this actually happened was DigiNotar.

I was asked to list the trusted CA certificates of iOS 5, Android 4.0 (ICS) and Windows Phone 7 for one of my customers – in order for them to understand what CA certificates their mobile users actually trust.

iOS and Windows Phone 7 is relatively easy, since both Apple and Microsoft lists the trusted certificates on their websites:

• iOS 5 trusted certs – 183 trusted CAs
• Windows Phone 7 trusted certs – 56 trusted CAs

Previously, Android used Bouncy Castle Provider to store all trusted certs in /system/etc/security/cacerts.bks. This file was a bit tricky to read on some devices, e.g. HTC had changed the original keystore password (Hmm, wonder why they don’t want us to read that file easily). In Android 4.0, the CA certificates are instead stored as separate files under the directory /system/etc/security/cacerts/.

Here is a simple way to write all issuer names to a file. The command-line assumes you have adb, e.g. from Android SDK – and grep (Windows users can use Cygwin or similar to get grep):

adb shell cat /system/etc/security/cacerts/* | grep Issuer:  > trusted_roots_ICS.txt

The list contains 134 trusted CAs, compared to 183 trusted CAs on iOS 5. Both numbers sound pretty scary to me. Complete list of Android CAs can be found here. Luckily, we’re able to disable pre-installed CAs from the user interface in Android 4.0 – something that’s not possible in iOS 5. It will be interesting to see how/if Android manufacturers will modify the pre-installed CA list. Who do you trust?

Enjoy!

/Emil

Android 4.0 eller Ice Cream Sandwich som det också kallats, presenterades inatt av Google och Samsung.

Detaljerna om vad detta innebär för utvecklare respektive slutanvändare finns som vanligt på Android Developer webben. De viktigaste nyheterna för oss som företagsanvändare är:

• En och samma plattform för smartphones och tablets, vilket förenklar hanteringen av mobila enheter i stort – t.ex. vid val/inköp av appar
• Krypteringsstöd i smartphones (som tidigare endast fanns i den tablet-specifika Android 3.0 och ett fåtal smartphones som Galaxy S II)
• Autentisering med klientcertifikat mot Exchange i den inbyggda mail-klienten
• En ny “Keychain” (nyckelring) med möjlighet att lägga till godtyckliga klient- eller betrodda server/CA-certifikat
• Möjlighet att avaktivera CA-certifikat bland de inbyggda betrodda certifikaten i plattformen
• Ett riktigt API för VPN-inställningar, vilket medför att MDM-systemen äntligen kan ge oss stöd för hantering av VPN
• Ett API för VPN-klienter, vilket öppnar för VPN-leverantörerna att bygga en specialanpassad VPN-modul.
• Stöd för Exchange 2010 ActiveSync (v14)
• Stöd för ActiveSync-policyn som kräver att kameran avaktiveras

Det känns äntligen som Android är jämförbart med iOS vad gäller företagsanvändning.

Att det dessutom går att avaktivera de CA-certifikat man inte känner sig bekväm med, känns riktigt skönt apropå senaste problemen med hackade certifikatutgivare.

Än så länge är det bara feature-specifikationer och SDK som är släppt. Själva plattformen släpps först om ungefär en månad, och naturligtvis är det upp till respektive hårdvarutillverkare om de vill/kan uppgradera redan sålda enheter.

/Emil

Apple håller på att ändra rutinerna för iOS MDM. Du som ska använda ett MDM-verktyg för att administrera dina iOS-enheter, behöver inte längre teckna ett medlemskap i iOS Developer Enterprise Program. Goda nyheter, eftersom proceduren för att teckna iDEP-medlemskap har tagit väldigt lång tid för vissa organisationer. Nu tar istället MDM-leverantörerna över delar av ansvaret. Den nya proceduren är enligt följande:

1. Du får ut en Certificate Signing Request från ditt MDM-system (signerad av MDM-leverantören)
2. Du går till https://identity.apple.com/pushcert och skapar ett certifikat baserat på den CSR du fått ur MDM-systemet
3. Certifikatet laddas sedan upp i MDM-systemet

Det blir alltså betydligt enklare, och förhoppningsvis snabbare procedur att komma igång med MDM för iOS.

Läs mer på http://www.apple.com/iphone/business/integration/mdm

/Emil

Lookout släppte häromveckan en intressant rapport om säkerhetshot mot mobila enheter.

Här följer ett kort sammandrag av innehållet:

• i juni 2011 var det 2.5 gånger mer sannolikt för Android-användare att ladda hem malware, jämfört med januari 2011.
• Det sker ett trendskifte i fördelningen mellan Spyware och Malware för mobila enheter. Januari 2011 var 2/3 spyware och 1/3 malware. Juni 2011 var fördelningen 50/50.
• Antalet mobilapplikationer infekterade av malware har femdubblats de senaste 6 mån.
• Användare löper tredubbelt så stor risk att utsättas för phishing-attacker på sin telefon jämfört med sin dator.
• Som exempel så publicerade skaparna av DroidDream över 80 infekterade applikationer, i flera fall dubletter av befintliga applikationer. 250 000 användare beräknas ha smittats av DroidDream sedan mars 2011.
• En stor andel spyware-applikationer stöds både på iOS och Android.

Skadlig kod kan beroende på karaktär (som några av er redan sett i min Demo-trojan).

• Skicka SMS eller ringa samtal (ofta betalnummer)
• Stjäla personlig information som lösenord, SMS, mail, kontaktlistor, foton osv.
• Avlyssna (spela in ljud) när telefonen inte används
• Installera eller ta bort applikationer
• Användas för att fjärrstyra en infekterad enhet. Trenden går mot att många fjärrstyrs i så kallade botnet

Sandboxing tillhandahåller ett bra grundskydd i både iOS och Android, och minskar skadan som skadlig kod kan åstadkomma.
Den exploit-kod som används i ovan nämnda DroidDream och t.ex. jailbreak av iOS, bryter sig ur sandboxen för att ta full kontroll över systemet. På så vis kringgås i princip alla inbyggda säkerhetsmekanismer. Sårbarheter i webbläsaren som t.ex. använts för att jailbreaka iOS-enheter kommer kunna användas även för spridning av skadlig kod.

Android är mer utsatt för malware än iOS, delvis pga. större marknadsandel men framför allt eftersom applikationer kan publiceras på Android Market utan granskning (vilket däremot görs på Apple App Store).
En granskning garanterar dock inte att all skadlig kod hittas.

Microsoft säger själva att “BUILD will show you that Windows 8 changes everything”, och detta måste vi givetvis följa. BUILD Windows går av stapeln den 13 september i USA. För den som inte kan åka till USA, arrangerar vi en direktrapportering från BUILD i Stockholm.

Förutom livesändningar från BUILD Windows Keynote, kör vi även t.ex. en historisk tillbakablick på scen, om hur Windows och Microsofts utvecklingsmiljö utvecklats genom åren. Massor av nostalgi utlovas!

Naturligtvis finns experter på plats direkt för en spännande paneldebatt kring det som rapporterats från BUILD.

Anmäl dig på: http://www.buildwindows.se

/Emil

Det var ett tag sedan en jailbreak utan krav på koppling till dator (så kallad untethered jailbreak) publicerades, men nu är det alltså dags igen.

En iPhone eller iPad kan jailbreakas genom att enbart besöka en webbsida. Läs mer på:

http://www.idg.se/2.1085/1.394742/sakerhetshal-oppnar-upp-for-jailbreak-av-iphone-och-ipad

http://blog.iphone-dev.org/post/7295551750/jailbreakme-times-3

Just eftersom säkerhetshålet som utnyttjas finns i senaste iOS 4.3.3 (och betaversionen av iOS 5) är det att betrakta som allvarligt. Chansen är stor att samma säkerhetshål utnyttjas av skadlig kod. Jag rekommenderar de nyfikna som vill testa, att använda en test-device (som inte är kopplad till företagets infrastruktur).

/Emil

Igår körde vi på TrueSec en Infrastructure Summit (på Rival i Stockholm) – en heldag om mobila plattformar i företagsmiljö. Det blev en rolig dag, med många intressanta diskussioner efteråt.

Som utlovat kommer presentationsmaterialet här från Mobile Platforms Today and Tomorrow, How Hackers Attack… samt min del av Managing Mobile Devices.

Presentationerna kommer dessutom att mailas ut till samtliga deltagare, tillsammans med övriga talares material.

Stort tack till alla deltagare!

Hör gärna av er med synpunkter eller idéer för kommande evenemang. Närmast framöver så kör jag labben Introduction to Mobile Device Management på Labcenter den 28-30 juni. Det finns fortfarande enstaka platser kvar. I höst kör vi givetvis också MDM-labben, Android-utvecklingslabben och mycket mer.

Steve Jobs och hans kollegor på Apple presenterade under måndagen vad som kommer i iOS 5 (släpps i höst).

Den största nyheten för oss företagsanvändare (som jag också spekulerat kring i mina senare presentationer) är att vi äntligen slipper ha iTunes installerat på datorn för att aktivera, synka innehåll och uppdatera mjukvaran!! Istället görs detta OTA (över nätet). Tack Apple, det var på tiden. Många av er jag träffat har varit bekymrade över detta tidigare. Håll ut, lösningen är alltså på väg.

Om ni planerar en större iOS-utrullning i år, så invänta version 5 om möjligt.

Det fanns många andra nyheter också, bland annat den nya molntjänsten iCloud, som t.ex. smidigt och enkelt kan synka dokument mellan iPad och datorn över nätet. Tyvärr bygger detta till stor del (än så länge) på att man kör Mac (och Keynote, Pages, Numbers). Det är också oklart om det kommer finnas s.k. Multi-konton för enterprise-bruk (där det egna företaget har kontrollen över dokumenten).

Hela presentationen finns som video på Apple’s site

De riktigt nyfikna (och som har ett iOS dev-konto) kan ladda hem en beta av iOS 5 redan nu från iOS dev center.

Gartner släppte ny statistik idag, och det är tydligt att världsmarknaden för mobila enheter fortsätter växa kraftigt. Under första kvartalet 2011 såldes nästan en halv miljard terminaler.

På plattforms-sidan är det tydligt att Android och iOS fortsätter dominera, medan Symbian fortsätter tappa rejält. Även om operativsystemet fortfarande har en fjärdedel av marknaden, så är det tydligt att många (både användare och tillverkare) har lämnat Symbian bakom sig.

Det som kan vara ganska förvånande med rapporten, var det faktum att det fortfarande säljs fler Windows Mobile 6.x baserade lurar (drygt 2 miljoner), än Windows Phone 7 (1.6 miljoner). Detta tror jag delvis beror på att många avvaktar, och vill se mer av hur kommande Mango-uppdateringen kompletterar Windows Phones nuvarande funktioner – framför allt för företagsanvändare. Men det visar också hur lång tid det tar för handeln att fasa ut äldre modeller (oavsett plattform) och att lansera nånting helt nytt.

Ni hittar hela statistiken på Gartners webb

/Emil

Google börjar bli klara med Chrome OS, och Chromebooks är på väg ut i handeln i USA inom nån månad. Det ser ut att även komma stationära burkar.

http://www.google.com/chromebook/#features

Jag tycker det är särskilt coolt med deras sandboxing (där varje browser-tab körs i egen isolerad process, dvs. en ”farlig” website kan inte åstadkomma mycket skada), TPM-baserad krypto och ”Verified Boot” som verifierar att OS’et förblir oförändrat (extra skydd om en web-app skulle lyckas ta sig ur sandboxen).

Detta kan säkert vara ett bra laptop-alternativ för många företagskunder, som klarar sig långt med ”bara” webb. Det blir näst intill underhållsfria klienter, och de samarbetar med Citrix och VMWare för att nå t.ex. Windows-miljöer remote.

/Emil