Роботи помиляються: шукаємо баги в додатках для android

Відео: Баг нової програми ВКонтакте під Андроїд

Нові помилки в веб-сервісах, додатках і операційних системах - все це вже так звично і знайомо. Подібні новини ми читаємо щодня. Але що дивно: якщо взяти мобільний напрямок, то тут панує тиша. І якщо іноді проскакують новини про уразливість в самих ОС, то ніякого багтрака по мобільних додатків немає. Чому?


Пошта, календар, список контактів, менеджер паролів, сотні фотографій - все це зберігається у нас на телефоні. Смартфон стає своєрідним ключиком до всього: багато сервісів прив`язують номер телефону для можливості відновлення пароля. При цьому ми з якоїсь незрозумілої причини на підсвідомому рівні вважаємо, що весь вміст смартфона апріорі знаходиться в безпеці. Найгірше, що може статися, в очах звичайного обивателя - це втрата або крадіжка девайса. Однак на цьому список загроз не закінчується.

Мобільні додатки по суті своїй мало чим відрізняються від звичайних. І нерозумно було б говорити про те, що вони більш безпечні. Навпаки, мобільні розробники не сильно запарюються щодо безпеки, розставляючи пріоритети в бік функціональності і юзабіліті. Програмісти тут ще не навчені гірким досвідом і поки мало замислюються про безпеку - головне, щоб все добре працювало і користувачі скачували / купували додатки. Тому немає нічого дивного, що у величезній кількості додатків (у тому числі банківських) криються уразливості - і виявляються вони найчастіше найпростішим аналізом. Не дивно, що безпеку мобільних додатків викликає все більший інтерес як серед зловмисників, так і серед дослідників. Хороший приклад: компанія «Яндекс» в кінці 2012 року додала в конкурс «Полювання за помилками», крім вебсервісів, свої додатки для iOS і Android. У нашій програмі сьогодні - розібратися з основними типами вразливостей в мобільних додатках для мобільної платформи Android. Але перш - освоїмо матчасть.


Операційна система Android влаштована таким чином, що кожен додаток запускається під спеціальної віртуальної машиною Dalvik. Її відмінна риса - низьке енергоспоживання, що добре підходить для ARM-пристроїв. Програми для Android пишуться на Java (з використанням зовнішніх бібліотек на інших мовах завдяки розширенню NDK), проте стандартний байт-код не використовується. Замість цього Dalvik використовує свій формат - dex. Звичайні class-файли конвертуються в dex за допомогою утиліти dx, що входить в Android SDK.

Додатки для Android поширюються в вигляді APK-файлів, які є виконуваними ZIP-архівами. Всередині архіву використовується проста структура файлів:



• Директорія META-INF:
• MANIFEST.MF - файл-маніфест;
• CERT.RSA - сертифікат;
• CERT.SF-хеш-кодування файлів і ресурсів;



• Директорія res - ресурси, що не містяться в resource.arsc;
• Директорія assets - додаткові файли;
• AndroidManifest.xml - додатковий файл-маніфест;
• classes.dex-скомпільований файл для Dalvik;
• resources.arsc - перекомпіліровать ресурси;
• lib - не завжди є, містить бібліотеки.
З точки зору дослідника інтерес представляють два файли - classes. dex і AndroidManifest.xml. Декомпілювати classes.dex, можна отримати вихідний код програми. А в файлі AndroidManifest.xml зберігається інформація про налаштування цього додатка, наприклад доступні йому провайдери (дозвіл на читання, відправлення SMS і так далі).

Таким чином, алгоритм реверсінга більшості додатків для Android виглядає плюс-мінус однаково:
1. Розпакувати APK-архів.
2. Конвертувати за допомогою утиліти dex2jar файл classes.dex в classes.jar.
3. Відкрити classes.jar в Java-декомпілятори, наприклад JD-GUI.

---

Ваша першочергова задача - покупка холодильного обладнання промислового призначення, так що пошуком багів в Android Вам зовсім ніколи займатися. І в зв`язку з цим я хочу порекомендувати Вам сайт insolar.com.ua (https://insolar.com.ua/). Тільки тут Ви зможете придбати дане обладнання найвищого класу за найнижчою ціною!