Aplikační testy / mobilní technologie Ing. Vladimír Lazecký vladimir.lazecky@viavis.cz ü Ověření, že SW aplikace splňuje zadání ü Funkční požadavky ü Nefunkční požadavky ü Bezpečnostní požadavky ü Provozní požadavky ü Životní cyklus SW Nejde o úplný výčet… Aplikační test – účel a cíle ü UNIT testy ü Testy nejmenších testovatelných částí aplikace ü Procedury… ü Testování vývojáři = riziko ü Obvykle nejsou součástí testovacích scénářů ü Čím jednoznačnější funkčnost a menší jednotka, tím lepší testovatelnost Vybrané typy aplikačních testů ü Assembly testy: ü Testování, zda dílčí čásB aplikace lze sestavit do celků ü Testy integrace jednotlivých komponent ü Testy provádí vývojář i tester ü Měly by být nedílnou součásM vývoje Vybrané typy aplikačních testů ü Systémové a integrační testy ü Systémové: ü Aplikace splňuje definované požadavky ü Integrační: ü Aplikace pracuje korektně v definovaném prostředí Vybrané typy aplikačních testů ü Ověření zda: ü Existuje požadovaná funkcionalita ü Funkce pracují korektně ü Funkce jsou odolné proti nekorektnímu postupu Funkční testy ü Ověření splnění nefunkčních požadavků: ü Zátěžové testy ü Testy přístupových oprávnění ü Testy konzistence dat ü Testy GUI, srozumitelnosti Nefunkční testy ü Bezpečnost = důvěrnost x dostupnost x integrita: ü Přístup k aplikaci, čásZm, datům ü Logy a záznamy ü Odolnost pro[ zátěži – nejen zátěžový test ü Záruky integrity dat Bezpečnostní testy ü Procesy update a upgrade aplikací ü Je tento proces promyšlen? ü Přechody mezi verzemi, oběma směry ü Kompatibilita, konzistence dat Release testy, životní cyklus ü Testy kódu s cílem ü Pochopení know how ü Získání kódu… ü Bezpečnostní pohled: ü Je aplikace odolná proti těmto testům? Testy zpětného inženýrství „Mobil je pro nás dar z nebes…“ ü Zaměstnanec BIS, na přednášce pro CEVRO Insitut − Útoky proveditelné i motivovaným laikem Speciální oblast – mobilní aplikace Mobilní telefon https://www.researchgate.net/figure/Hardwar e-architecture-The-devices-involved-in-the- proposed-system-are-a-smart- phone_fig1_235424730 ü Data, o kterých víme ü Která to jsou? Data v mobilních telefonech https://www.researchgate.net/publication/334996641_A_Targeted_Data_E xtraction_System_for_Mobile_Devices/link/5d766707299bf1cb8094cf91/do wnload ü Data, o kterých nevíme… üKterá to jsou? Data v mobilních telefonech ü Metadata ü Metadata v telefonu ü Metadata u operátorů ü Metadata v telefonech proVstrany ü Metadata u výrobce Data v mobilních telefonech https://www.sid.cz/telco-score/ Android https://www.androidcentral.com/android-collects-10x-much-data-ios-because-it- offers-10x-much-usability ü Behaviorální biometriky Využití metadat z mobilních telefonů https://www.buguroo.com/en/blog/behavioral-biometrics-in-mobile- banking-applications h"ps://www.forbes.com/s ites/zakdoffman/202 12.05.202318/14 Je služba zadarmo? ü Krádež zařízení ü Infekce zařízení ü Exploitace zařízení (OS, aplikace) ü Využití zranitelností ü Odposlech provozu ü Zneužití metadat, behaviorálních dat Vybrané vektory útoků Časté vektory útoku hOps://www.rd.com/arPcle/mobile-security-threats/ ü Zcizený mobil: ü Bez PN a hesla, 2 FA ü Šifrovaný obsah ü Jen pro profesionály Krádež/ztráta mobilu – jak se lze do zařízení dostat Některé technologie – profesionální nástroje https://www.spyshop24.cz/ufed-touch-ultimate- profesionalni-forenzni-extrakce-ziskavani-a-analyza-dat- z-mobilnich-zarizeni-454.html Spy aplikace - Android hOps://www.thetoolreport.com/can-you-spy-on-an-android-phone-remotely/ 12.05.2023 24/25 https://www.clevguard.com/spy/android-spy-app-remote-installation/ Spy aplikace - Android 12.05.2023 25/25 https://neatspy.com/spy/spy-on-iphone-without-installing-software/ Spy aplikace - iOS 12.05.2023 26/25 Spy aplikace - iOS https://messagingapplab.com/spy-on-iphone/ Sledování telefonního čísla www.viavis.czVIAVIS a.s. 27 https://echospy.com/cs/jak-sledovat-%C4%8D%C3%ADslo-mobiln%C3%ADho- telefonu-na-map%C4%9B-google/ ü Messaging systémy ü WiFi dítě ü Provoz generovaný aplikacemi ü Hovory Odposlechy provozu Bezpečnostní pohled na messaging systémy Co je bezpečnější, Signal nebo WhatsApp? Jak můžu komunikovat bezpečně? Co tedy je bezpečnější? Neexistuje univerzální a bezpečné řešení 12.05.2023 29/14 https://www.seznamzpravy.cz/ Messaging systémy • Základní bezpečnostní aspekty – východiska pro odpovědi: • Metadata: Jaká metadata sbírá Jak je platforma uchovává Komu metadata patří Jak je provozovatel transparentní can be used for a number of different purposes such as targeted advertising, searches, data management and platform diagnostics. Additionally, and storing metadata makes working with any data easier as it allows for tegorisation, sharing, searching and use of data. in 2014, the former Director of the Central e Agency stated that they “kill people based ta”. Whether referring to groups of people or s, this statement accurately highlights the ch metadata can be used to target vulnerable s, human rights activists, whistle-blowers rmore, as organisations digitise the way they generate increasing amounts of metadata r beneficiaries, their employees, and their ta that is not necessarily under the exclusive these organisations. The use of metadata for purposes raises the question: Do we d what qualifies as data that may put e individuals or groups at risk? This has led the tools and policies implemented to protect s. “[M]etadata absolutely tells you everything about somebody’s life. If you have enough metadata, you don’t really need content” Stewart Baker, NSA General Counsel, quoted by David Cole “We kill people based on metadata” General Michael Hayden, former Director of the CIA 12.05.202330/14 Bezpečnostní otázky Uchování dat o komunikaci a obsahu komunikace: • Existuje politika uchování dat a je zveřejněna? • Lokace serverů, v jaké jsou jurisdikci? • Jaká je retence uchovávaných dat? • Jsou data a metadata šifrována, jak? • Kdo má pod kontrolou šifrovací klíče? • Jaký šifrovaný protokol je použit pro komunikaci? 12.05.2023 31/14 Bezpečnostní otázky • Management identit uživatelů: • Jak se uživatel registruje? • Jak platforma identifikuje a autentizuje uživatele? • Je podporována více faktorová autentizace? • Pracuje platforma se sociálními vazbami a analyzuje komunikaci? • Slučuje data z komunikací a od jednotlivých uživatelů? • Využívá alternativní způsoby identifikace (behaviorální charakteristiky)? 12.05.2023 32/14 Bezpečnostní otázky • Práva uživatelů: • Jurisdikce – licenční podmínky a podmínky užití, jakému právu podléhají • Má vláda přístup ke komunikaci? Do jaké míry? • Právo o přístup ke svým datům • Právo být zapomenut 12.05.2023 33/14 Bezpečnostní otázky • Business model: • Z čeho poskytovatel žije a tvoří zisk? • Jak transparentně svůj business model komunikuje? 12.05.2023 34/14 WhatsApp, Signal, Telegram 12.05.2023 35/14 SECURE COMMUNICATION PLATFORMS Developing A Framework for Assessing the Metadata of Communication Platforms Centre for Innovation & Free Press Unlimited INSERT LOGO’S PUBLICATION: 9 April 2020 CENTRE FOR INNOVATION, LEIDEN UNIVERSITY This report is a part of the Free Press Unlimited project Publeaks. For information on this project please visit: https://www.freepressunlimited.org/en/projects/publeaks-nederland- secure-and-anonymous-whistleblowing Metadata 12.05.2023 36/1441 The exact specifications of this technical information is not specified in the Privacy Policy dated May 25, 2018, of Signal. 42 Privacy Policy only refers to information that has been submitted by the user and does not explicitly address metadata generated throu Therefore, it may imply that only part of the metadata around a communication is owned by the user. Category Sub-Category WhatsApp Telegram Signal WeChat Metadata Collected Yes Yes Yes Yes Types Personal Data; Usage and log information; Device information; Location information; Network and connection information; Payment and transactional information; Other identifiers; Cookie information; Third-party information Personal data; Usage and log information; Device information; Cookie information Personal Data; Device Information; “Technical information”41 Personal Data; Usage and Log information; Device information; Location information; Network and connectio information; Payment and transactional informat Other identifiers; Cookie Information; “Shared information – Profile data”; “Shared information – Profile media” Storage Yes Yes Yes Yes Ownership User/Unknown42 Unknown User User43 4. ASSESSMENT Ukládání dat 12.05.2023 37/14 Storage Policy (metadata) Yes Yes Yes Yes Server Location Ireland (EU customer) United States of America (non-EU customer) Netherlands (UK/EEA User) Unknown Canada & Retention Limited44 Limited Unknown Limited Encryption Unknown Yes45 Partially Partially Key (encryption) Unknown Multiple locations. Different location to where data is stored. Unknown Unknown Protocol (encryption) Unknown Unknown Signal Protocol “SSL” ity ment Registration (identification) Phone number; Username Phone Number46 Phone Number Phone Num Facebook Google Ac Category Sub-Category WhatsApp Telegram Signal W Metadata Collected Yes Yes Yes Yes Types Personal Data; Usage and log information; Device information; Location information; Network and connection information; Payment and transactional information; Other identifiers; Cookie information; Third-party information Personal data; Usage and log information; Device information; Cookie information Personal Data; Device Information; “Technical information”41 Personal D Usage and informatio Device info Location in Network a informatio Payment a transaction Other iden Cookie Inf “Shared in Profile data “Shared in Profile med Storage Yes Yes Yes Yes Ownership User/Unknown42 Unknown User User43 4. ASSESSMENT Identita uživatele 12.05.2023 38/14 Category Sub-Category WhatsApp Telegram Signal W Metadata Collected Yes Yes Yes Yes Types Personal Data; Usage and log information; Device information; Location information; Network and connection information; Payment and transactional information; Other identifiers; Cookie information; Third-party information Personal data; Usage and log information; Device information; Cookie information Personal Data; Device Information; “Technical information”41 Personal D Usage and informatio Device info Location in Network a informatio Payment a transaction Other iden Cookie Inf “Shared in Profile data “Shared in Profile med Storage Yes Yes Yes Yes Ownership User/Unknown42 Unknown User User43 4. ASSESSMENT 44 WhatsApp only provides a time limitation for the storage of messages. It is unclear how long other data is stored for. 45 Only state that they encrypt personal data and not all metadata. Therefore, only part of the metadata related to the com 46 Telegram Privacy Policy (August 14, 2018); Telgram. n.d. User Authorisation. Accessed September 06, 2019. https://core.telegram.org/api/auth. 47 facebook. n.d. What names are allowed on Facebook? Accessed September 06, 2019. https://www.facebook.com/help/1 48 Telgram. n.d. User Authorisation. Accessed September 06, 2019. https://core.telegram.org/api/auth. 49 facebook. n.d. Create an Account. Accessed September 06, 2019. https://www.facebook.com/help/basics. 50 “Verifying your identity could mean sending Facebook documents like a driver’s licence, passport, or birth certificate” fac accept? Accessed September 06, 2019. https://www.facebook.com/help/159096464162185. Storage customer) United States of America (non-EU customer) (UK/EEA User) Retention Limited44 Limited Unknown Limited Encryption Unknown Yes45 Partially Partially Key (encryption) Unknown Multiple locations. Different location to where data is stored. Unknown Unknown Protocol (encryption) Unknown Unknown Signal Protocol “SSL” Identity Management Registration (identification) Phone number; Username Phone Number46 Phone Number Phone Num Facebook Google Ac Registration (authentication) Phone number Phone Number48 Phone Number Phone Num Account log-in (authentication) Unknown Phone Number51 Phone Number Unknown 2-Factor Authentication Optional53 Yes Optional54 Optional Data grouping Yes Unknown No No Social Graph - Yes56 No Yes Additional Identifiers Device identifiers; Unique Facebook Company Product identifiers associated to device or account; Cookie information Cookie information No QQID Facebook Cookie inf Policy Yes Yes Yes Yes Republic of Ireland British Virgin Práva uživatele 12.05.2023 39/14 Category Sub-Category WhatsApp Telegram Signal W Metadata Collected Yes Yes Yes Yes Types Personal Data; Usage and log information; Device information; Location information; Network and connection information; Payment and transactional information; Other identifiers; Cookie information; Third-party information Personal data; Usage and log information; Device information; Cookie information Personal Data; Device Information; “Technical information”41 Personal D Usage and informatio Device info Location in Network a informatio Payment a transaction Other iden Cookie Inf “Shared in Profile data “Shared in Profile med Storage Yes Yes Yes Yes Ownership User/Unknown42 Unknown User User43 4. ASSESSMENT 51 Telegram. n.d. FAQ: Troubleshooting. Accessed September 06, 2019. https://telegram.org/faq#login-and-sms. 52 facebook. n.d. Log Into Your Account. Accessed September 06, 2019. https://www.facebook.com/help/1058033620955 53 WhatsApp. n.d. “Using two-step verification.” WhatsApp. Accessed September 06, 2019. https://faq.whatsapp.com/en/g 54 Tested in app. 55 facebook. n.d. What is two-factor authenticaion and how does it work? Accessed September 06, 2019 56 “Retain your social graph” (Telegram Privacy Policy August 14, 2018) Authentication Data grouping Yes Unknown No No Social Graph - Yes56 No Yes Additional Identifiers Device identifiers; Unique Facebook Company Product identifiers associated to device or account; Cookie information Cookie information No QQID Facebook Cookie infUserRights Policy Yes Yes Yes Yes Jurisdiction Republic of Ireland (WhatsApp Ireland Limited) United States of America (WhatsApp Inc.) British Virgin Islands (Telegram Group Inc); Dubai (Telegram FZ- LLC) USA Netherlan Singapore Government Access Yes Yes Yes Yes Data Sharing Yes Yes Yes Yes Right to request data Yes Yes Yes Yes Right to be forgotten Yes Yes Yes57 Yes Transparency Yes59 Unknown60 No official reports released but blog does provide insight into government requests etc.61 No Storage Limited Yes No No ü Najděte způsob, jak zjistíte, zda je v mobilu instalována spy aplikace ü Jak se jí zbavíte? ü Jak lze podvrhnout číslo volajícího? ü Zpracujte min 5 zásad bezpečného užívání mobilu Úkoly pro vás Máte nějaké dotazy? Děkuji za pozornost Ing. Vladimír Lazecký