Баги в додатках для android: які бувають уразливості

Відео: Злом або обхід системи додатки Case Opener

На даний момент відомі і експлуатуються уразливості, знайомі тим, хто займається пентестом веб-сервісів:
• XSS - «міжсайтовий скриптинг», тобто виконання довільного javascript,
в даному випадку в рамках програми;
• UXSS- «універсальний міжсайтовий скриптинг», виконання javascript на будь-якій відкритій сторінці;
• SQL-ін`єкції - можливість впровадження свого коду в SQL-запит;
• Spoofing - підміна відповідей сервера.

Далі розглянемо кожну уразливість.

ТИП 1. XSS В ДОДАТКУ
Величезну небезпеку становить XSS в додатках. Наприклад, якщо в додатку за допомогою компонента WebView () включений javascript, то ми можемо виконати шкідливий код, який дозволить отримати зі смарт-фону приватні дані. Як приклад можна розглянути гучну в минулому році вразливість в додатку Gmail під Android. Суть уразливості полягала в наступному. Якщо в додатку послати лист з адреси "onload = window.location = `http: // google.com`" 0somedmn.com, то можна було побачити сторінку Google в додатку G mail. На основі цього неважко написати JS-код, який буде отримувати Мильники і посилати їх нам на заготовлений сниффер.


Таким чином, якщо ти знайдеш XSS в додатку, то існує великий шанс отримати дані. Однак не варто забувати, що для цього повинен використовуватися компонент WebView і setjavascriptEnabled ().

ТИП 2. UXSS І FILE: //
Існує окремий вид вразливостей - UXSS (Universal Cross Site Scripting). Цей тип вразливостей специфічний для браузерів, так як дозволяє виконувати javascript-код на будь-якій своїй відкритій сторінці. З «великого» світу для прикладу можна згадати баг в Opera (bit.ly/SPcwvm). А як приклад по темі нашої статті візьмемо 0-day, знайдений Артемом Чайкіним в мобільній версії браузера Chrome (завдяки йому Артем, до речі, потрапив в Зал слави Гугла). Суть даної уразливості проста - використання javascript: в URL поточної вкладки.




Наведу відразу PoC. Запускаємо shell на Android-пристрої (використовується емулятор або реальний девайс - це неважливо):

І у нас запускається Chrome з google.ru в поточній вкладці. А тепер використовуємо javascript всередині URL:

І ми побачимо кукис (document.cookie) сайту на поточній вкладці (в даному випадку google. Ru). Або інший варіант: показати вікно про те, що версія браузера застаріла, запропонувавши оновитися, перейшовши за вказаною адресою з заздалегідь заготовленим шкідливим вмістом. Варіантів багато.
Також можна запускати Chrome через команду adb shell. Тоді, наприклад, остання команда буде виглядати так:

Тепер ще один цікавий баг, опублікований тим же дослідником. Як відомо, файли програми доступні тільки самому додатку. Але розробники Chrome допустили використання протоколу file: //, і завдяки цьому ми можемо отримати файли програми і завантажити їх на картку з правами, що дозволяють будь-якому додатку відкрити їх. PoC виглядає наступним чином:



І в /sdcard/Downloads/Cookies.bin ми побачимо наші печеньки з правами «Для всіх». Тепер будь-який додаток може прочитати такий файл і відправити їх зловмисникові, щоб він зміг авторизуватися на якому-небудь веб-сервісі, використовуючи отримані дані.

---

Чи збираєтеся приступити до пошуку багів в додатках для Android відразу ж після того, як побудуєте заміський будинок? В такому випадку, Вам безумовно точно слід знати, що припливна вентиляція будинку (https://informteh.ru/sistemi_ventiljacii/ventiljacija_v_dome/) - це найкращий і найбільш вигідний варіант для житлової конструкції, яку збираються використовувати протягом усього року! Дізнайтеся подробиці на informteh.ru.