Баги в додатках для android: пара слів про безпеку і інструменти для аналізу

Відео: Чадні Додатки [Apps for Android / iOS]

Пара слів про безпеку

Безпека ОС Android знаходиться на досить високому рівні. Як вже було сказано раніше, у кожної програми є файл AndroidManifest.xml, в якому прописуються всі необхідні додатком дозволу (їх виставляє користувач, коли встановлює додаток). Якщо додатка не дозволити відправляти SMS, то воно не зможе це робити. Такі дозволи контролюються на рівні ОС і регульо-ються як раз за допомогою цього файлу. З цієї причини шкідливий додаток можна визначити за наявністю дивних прав, наприклад, експлойт Gingerbreak не спрацює, якщо у додатки немає прав на монтування / Демонтується SD-карти. Погодься, дивно, якщо нова версія улюблених Angry Birds потребують такого.

Крім цього, у кожної програми є свій унікальний ID і GID, а файли самого програми доступні тільки цьому додатку (іншими словами, мають права -rw-rw ----).


Намагаємося провести інжект і викликаємо помилку SQL




При старті кожної програми запускається своя VM (Java Dalvik), але для експлуатації багатьох вразливостей, про які йтиметься далі, додаткові права не потрібні. Часто достатньо дозволу на роботу з інтернетом, і тоді зловмисник зможе в режимі реального часу отримувати всі дані. А якщо у нього деструктивні нахили, то і цього не треба. Наприклад, досить встановити «живі» шпалери, які не потребують ніяких прав, зате видаляють всі твої нотатки за допомогою SQL-ін`єкцію.




Так, c iOS подібний тюк не пройде, так що Ви можете бути спокійні за безпеку свого пристрою і, наприклад, придбати чохли для iphone 5s (https://sintos.ru/shop/group/iphone_5_5s), який стане додатковим запорукою вже фізичного стану телефону!


Як і в звичайному реверсінге, програми-помічники поділяються на дві категорії: для статичного і динамічного аналізу.

статичний аналіз
Основний утилітою є dex2jar, яка входить до складу багатьох утиліт, - про неї вже не раз згадувалося на сторінках журналу, тому опустимо подробиці. Та й навичок особливих вона не вимагає, невеликий алгоритм декомпілювання додатки ми описали в попередньому розділі. Деякий час назад в Мережі з`явилася компанія зі своїм мегапродуктом, який «шифрував» твоє додаток. Насправді він використав помилку в утиліті dex2jar, яку досить оперативно виправили. Далі, отримавши звичайний Java-код, скористаємося будь-яким Java-декомпілятори. Я вважаю за краще два: JD-GUI і jad, графічний і консольний. У графічного є невелика проблема: деякі шматки коду він залишає у вигляді байт-коду, тому доводиться якісь класи декомпілювати ще раз вже за допомогою jad. Якщо такий алгоритм не спрацював, доведеться працювати на рівні smali / backsmali-коду за допомогою однойменних утиліт. Ну і звичайно, стане в нагоді IDA: починаючи з версії 6.1, у неї з`явилася підтримка ARM-архітектури і працює розпакування APK-файлів. Варто відзначити, плагін Androguard для редактора Sublime Text (bit.ly/W5e0n2) замінює багато утиліти, описані вище. У його арсеналі є вбудовані декомпілятори як Java-, так і smali-коду, конвертор XML-файлів, наприклад AndroidManifest.xml, в звичайний текстовий і багато іншого.

Крім програм для реверсінга, в Мережі є утиліта для сканування додатка на наявність вразливостей - ScanDroid. Остання являє собою невеликий скрипт на Ruby, який є обгорткою для утиліт-декомпілятори, а правила задаються в текстовому файлі, тому без проблем завжди можна написати свої. Є докладна стаття по роботі з нею і переклад: bit.ly/VdAEtu.