1

Mobile Security

尚玉瑋ywshang@itri.org.tw

BETA

2

2

Agenda

1. Enterprise Mobile Management

2. iOS Security

3. App SSO Concept

3

Enterprise

Mobile

Management

(1)

4

WORKPLACE HOME

Enterprise IT 採 end-to-end 方式管理電腦

Anders SandbergF. Javier Llorente, alias...

5

WORKPLACE HOME

Bring Your Own Device ， BYOD Policy

Anders SandbergF. Javier Llorente, alias...

App

App

App

App App App

6

MDM

Enterprise Mobile Management

Mobile

Application

Management

Mobile

Device

Management

Mobile

Information

Management

MAMMIM

7

MDM

Enterprise Mobile Management

管理 App哪些可以安裝在行動裝置上，哪些不可以。特定App只能提供給特定人士安裝。

由企業 IT控管行動裝置。可以遠端重置系統、鎖定系統，強制套用安全設定。

確保敏感資料加密，只允許認可的程式存取資料。

MAMMIM

8

EnterpriseApp Store

(MAM)MDM

登錄使用者裝置，取得相關資訊，後續可供身分驗證使用

觀察使用者的使用狀況，亦可針對 App進行授權管理

9

MAM 相關產品

App47 Apperian AppSense

Citrix F5 Networks Fiberlink

MobileIron  IBM Etc……..

10

MAM MDM

10

•Over The Air update(OTA)

•Remote Configuration and

Provisioning

•Backup/Restore

•Network Usage and Support

•Remote Lock and Wipe

•Device Provisioning

•Jailbreak Detection

•App Delivery

•App Security

•App Updating

•User Authentication

•User Authorization

•Version Checking

•Push Services

•Reporting and Tracking

Features( 僅供參考 )

11

iOS Security(2)

12

Device Data

Network App

13

Device Data

Network App

14手機內建的螢幕鎖

15

Device Security Policy

行動裝置，透過設定檔限制功能 iPhone Configuration Utility(iPCU)

16也可以直接設定

17

透過MDM管理設定檔將設定套用於手機

18

Device Data

Network App

19

遺失了手機怎麼辦 ?

20個人進行遠端重置或鎖定

21

透過MDM

遠端重置或鎖定或取消裝置註冊

22

透過MAM

取消 App使用權或刪除資料

23

KeyChain (128bit AES)可用來儲存機密資料如密碼、憑證各 App 可以有自己的 keychain ，防止其他 app 存取可以設定群組 keychain ，提供同群組 app 存取

File Encryption只能用 API 方式，讓 App 開發人員對檔案進行加解密

App 如何保護敏感資料 (iOS)

24

Jailbreak & Root

不當的權限，易造成資料外流

25

透過MAM或MDM

偵測是否有 Jailbreak

26

Device Data

Network App

27

使用者可能在機場、旅館…使用Wi-Fi連回公司

資料於傳輸過程中需要保護

28

VPN

SSL/TLS

WPA/WPA2

若是重要資料，建議採用 VPN 連線

29

Device Data

Network App

30

Android iOSWindows

Phone

各平台對於 Security 提供不同的做法reference

31

Trusted App Store

Untrusted App Store

確保 App 來自於信任的 App Store

32

惡意軟體&

惡意程式碼目前 Android Apps 比例較高

33

Browser-based attacks

Buffer overflow exploitations

Application-base attacks

PC 能作的攻擊行動，行動裝置也能

34

App Security Scan

掃描程式弱點

35

Device Data

Network App

透過MDM管理設定檔將設定套用於手機

•透過MDM遠端重置或鎖定或取消裝置註冊•透過MAM取消 App使用權或刪除資料•透過MAM或MDM偵測是否有 Jailbreak/Root

•重要資料，建議採用 VPN連線•確保 App來自於信任的 App Store•App Security Scan

36

App SSO

Concept(3)

37

SSO API

App

使用者驗證與授權 (Native)

App ServiceAPI

取得授權 Token存取資料

SSO網頁

以 HttpClient方式模擬瀏覽器進行認證呼叫 SSO API

38

App

使用者驗證與授權 (Web View)

客製網頁(受 SSO保護 )

App ServiceAPI取得授權 Token

存取資料

以WebView元件開啟特定頁面

登入成功，導向特定網頁

登入失敗，重新登入

取得使用者資料

Mobile SSO網頁

39

認證方式

1.ID/Password

2.Phone Number

3.SIM Number

4.Device ID

5.MAC address

40

授權根據

1.ID/Password

2.Phone Number

3.SIM Number

4.Device ID

5.MAC address

EMM API

App Service API

41

限制使用

1.限定網路連通時2.限定特定地理位置範圍內3.限定 VPN連線

42

Security Comparison

reference

43

END