搜索
查看: 1196|回复: 0

Android App常见安全问题演练分析系统-DIVA-Part1

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2016-11-15 14:17:20 | 显示全部楼层 |阅读模式

I. 什么是DIVA


DIVA(Damn insecure and vulnerable App)是一个故意设计的存在很多漏洞的Android app,目的是为了让开发、安全工程师、QA等了解Android app常见的一些安全问题,类似dvwa,也可以把它当成一个漏洞演练系统。

为了使用DIVA熟悉各种常见的app安全问题,需要做一些准备工作。

准备工作:

1,安装JDK,很多工具需要用到java环境;

2,安装Android开发工具(ADT,Android studio),下载地址

https://developer.android.com/studio/index.html

主要包括SDK管理器,安卓虚拟设备管理器(Android Virtual Device,AVD)等,并且集成了adb、emulator等常用工具。dex2Jar、adb是Android app测试常用到的工具,emulator是ADT自带的模拟器,可以模拟Android环境。

3,安装APKtool、Drozer、dex2jar、JD-GUI

Apktoolss下载地址:https://bitbucket.org/iBotPeaches/apktool/downloads

Drozer下载地址:https://labs.mwrinfosecurity.com/tools/drozer/

Dex2jar下载地址:https://sourceforge.net/projects/dex2jar/?source=typ_redirect

JD-GUI下载地址:http://jd.benow.ca/

首先运行Android模拟器,可以使用如下命令:

  1. #列出已经建立好的AVD,也就是模拟器
  2. her0ma@localhost:~/software/SDK/tools$ ./emulator -list-avds
  3. Nexus_4
  4. Nexus_5X_API_19
  5. Nexus_6
  6. #启动模拟器,-avd参数指定模拟器的名称
  7. her0ma@localhost:~/software/SDK/tools$ ./emulator -avd Nexus_4
复制代码

[/url]

4,下载并安装DIVA,下载地址: [url=http://www.payatu.com/wp-content/uploads/2016/01/diva-beta.tar.gz]http://www.payatu.com/wp-content/uploads/2016/01/diva-beta.tar.gz

使用adb安装DIVA app到模拟器,命令如下:

  1. her0ma@localhost:~/software/SDK/platform-tools$ ./adb install /Users/her0ma/software/diva-beta.apk
  2. [100%] /data/local/tmp/diva-beta.apk
  3.     pkg: /data/local/tmp/diva-beta.apk
  4. Success
复制代码

[/url]

如果开启了多个模拟器,可以用-s参数来指定具体要安装到那台模拟器。

5,打开已经安装好的DIVA app,如图所示:

[url=http://p4.qhimg.com/t016380f19763db351d.jpg]

II. 反编译App


对Android app进行静态分析是一种常见的漏洞查找方式,可以使用Dex2Jar获取app的.java文件。命令如下:

  1. her0ma@localhost:~/software/dex2jar$ sudo ./d2j-dex2jar.sh /Users/her0ma/software/diva-beta.apk
  2. dex2jar /Users/her0ma/software/diva-beta.apk -> ./diva-beta-dex2jar.jar
复制代码

会在工具同目录下生成一个.jar文件,可以用JD-GUI工具直接打开diva-beta-dex2jar.jar文件


III. 使用apktool获取smail代码


Android app静态分析的时候,可以通过AndroidManifest.xml文件来了解app及其内部结构的一些信息,可以使用apktool获取这个文件以及smali代码,如图:

[/url]

使用到的命令:


会将提取出来的xml以及smali文件输出到360bobao这个目录。


IV. 问题1:不安全的日志输出


该问题主要是由于app代码中将敏感信息输出到app的logcat中,查看app记录的logcat,可以使用如下命令:

  1. her0ma@localhost:~/software/SDK/platform-tools$ ./adb logcat
复制代码

然后在app的表单中输入内容,check out就可以看到相关的日志输出:

  1. 09-20 20:09:16.631  1538  1598 D ConnectivityService: NetworkAgentInfo [MOBILE (UMTS) - 101] validation failed
  2. 09-20 20:09:43.466  2557  2557 E diva-log: Error while processing transaction with credit card: 6225880111111111
  3. 09-20 20:09:43.613  1198  1583 D AudioFlinger: mixer(0xf4580000) throttle end: throttle time(154)
  4. 09-20 20:09:45.474  2557  2570 E Surface : getSlotFromBufferLocked: unknown buffer: 0x7f18601fd050
复制代码

[url=http://p5.qhimg.com/t0104085cdb77bd5114.jpg]

可以看出用户输入的内容被输出到了日志中,看看具体的漏洞代码,用JD-GUI打开LogActivity.class文件,相关代码如图:

[/url]

下面这行代码就是将用户输入的内容记录到了logcat中。

V. 问题2:硬编码问题


很多开发小伙伴在开发app的时候,明明是可以用可变变量的,但是由于没有相关安全开发意识,使用了硬编码的方式,导致存在一定的安全风险。具体有关硬编码的定义可以参考百度,开发人员在开发的过程中应该尽量避免使用硬编码。先看看问题2涉及到的代码HardcodeActivity.class,JD-GUI打开,相关代码如下:


秘钥被明文写在了代码中,通过判断用户的输入是否和代码中的明文秘钥相同,来确定是否允许访问,对应代码:

  1. if (((EditText)findViewById(2131492987)).getText().toString().equals("vendorsecretkey"))
复制代码

攻击者只需要在app中输入秘钥就可以访问成功,如图:

[url=http://p3.qhimg.com/t01167175a039ae777e.jpg]

后文中会继续讨论有关硬编码的问题。


VI. 问题3:不安全的数据存储


不安全的数据存储也是App常见的安全问题之一,主要有三种方式:

1,将敏感数据保存到配置文件中;

2,将敏感数据保存在本地的sqlite3数据库中;

3,将敏感数据保存在临时文件或者sd卡中。

在DIVA中关于此项问题的案例主要是3、4、5、6,首先看敏感数据存储在配置文件中的情况,对应的漏洞代码文件InsecureDataStorage1Activity.class,继续用JG-GUI打开,漏洞代码片段如下:

  1. public void saveCredentials(View paramView)
  2.   {
  3.     paramView = PreferenceManager.getDefaultSharedPreferences(this).edit();
  4.     EditText localEditText1 = (EditText)findViewById(2131493000);
  5.     EditText localEditText2 = (EditText)findViewById(2131493001);
  6.     paramView.putString("user", localEditText1.getText().toString());
  7.     paramView.putString("password", localEditText2.getText().toString());
  8.     paramView.commit();
  9.     Toast.makeText(this, "3rd party credentials saved successfully!", 0).show();
  10.   }
复制代码

上面问题代码中,使用了SharedPreferences类,该类是Android平台上一个轻量级的存储类,主要是用来保存一些常用的配置,本例中是用该类存储了用户名和密码,因此是具有风险的。SharedPreferences类存储的数据会以.xml的形式存储在/data/data/apppackagename/shared_prefs目录下。如图:

[/url]


另外一种不安全的数据库存储,是将用户的敏感信息存储到本地的数据库中,一般app对应的数据库目录:

/data/data/apppackagename/databases,本例中是: /data/data/jakhar.aseem.diva/databases,如图先在4中保存一下数据:

[url=http://p4.qhimg.com/t010469c79960dab9aa.jpg]

  1. adb pull将模拟器中的文件拉倒本地
  2. her0ma@localhost:~/software/SDK/platform-tools$ ./adb pull /data/data/jakhar.aseem.diva/databases/ids2 /Users/her0ma/software/
  3. [100%] /data/data/jakhar.aseem.diva/databases/ids2
  4. 用sqlite3数据库打开,可以查看到用户存储的敏感数据
  5. her0ma@localhost:~/software$ file ids2
  6. ids2: SQLite 3.x database
  7. her0ma@localhost:~/software$ sqlite3 ids2
  8. SQLite version 3.8.10.2 2015-05-20 18:17:19
  9. Enter ".help" for usage hints.
  10. sqlite> .tables
  11. android_metadata  myuser
  12. sqlite> select * from myuser;
  13. zhangsan|p@ssw0rd
复制代码

对应的漏洞文件InsecureDataStorage2Activity.class代码片段如下:

  1. public void saveCredentials(View paramView)
  2.   {
  3.     paramView = (EditText)findViewById(2131493003);
  4.     EditText localEditText = (EditText)findViewById(2131493004);
  5.     //将用户提交的数据保存在了数据库中
  6.     try
  7.     {
  8.       this.mDB.execSQL("INSERT INTO myuser VALUES ('" + paramView.getText().toString() + "', '" + localEditText.getText().toString() + "');");
  9.       this.mDB.close();
  10.       Toast.makeText(this, "3rd party credentials saved successfully!", 0).show();
  11.       return;
  12.     }
  13.     catch (Exception paramView)
  14.     {
  15.       for (;;)
  16.       {
  17.         Log.d("Diva", "Error occurred while inserting into database: " + paramView.getMessage());
  18.       }
  19.     }
  20.   }
复制代码

还有一种不安全的数据存储,是将数据存储在临时文件或者sd卡中,看对应的漏洞文件分别是InsecureDataStorage3Activity.class、InsecureDataStorage3Activity.class的相关代码片段如图:

存储在临时文件中,

[/url]

[url=http://p0.qhimg.com/t010c8fc982f76182c5.jpg]

存储在sd卡中,漏洞代码片段:

[url=http://p1.qhimg.com/t016e3bc22dd10bb9f2.jpg][/url]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表