SlideShare a Scribd company logo

Android application security assessment

M
Mykhailo Antonishyn

OWASP TOP 10 Mobile

1 of 29
Download to read offline
Android Application Security Assessment Антонишин Михаил Informational security specialist m.antonishyn@hacken.io
Вид уязвимости по OWASP Top 10 Mobile M1. Обход архитектурных ограничений (Improper Platform Usage) M2. Небезопасное хранение данных (Insecure Data Storage) M3. Небезопасная передача данных (Insecure Communication) M4. Небезопасная аутентификация (Insecure Authentication) M5. Слабая криптостойкость (Insufficient Cryptography) M6 Небезопасная авторизация (Insecure Authorization) M7 Контроль содержимого клиентских приложений (Client Code Quality) M8 Модификация данных (Code Tampering) M9 Анализ исходного кода (Reverse Engineering) M10 Скрытый функционал (Extraneous Functionality)
Инструменты тестирования  Apktool  Adb  Dex2jar  VCG scanner  JD-GUI  Genymotion  Pidcat  Drozer  BurpSuite  MobSF
Декомпиляция приложения 1. Apktool 2. Dex2Jar 3. MobSF
Декомпиляция приложения 1. Apktool 2. Dex2Jar 3. MobSF
Декомпиляция приложения 1. Apktool 2. Dex2Jar 3. MobSF
M1.Обход архитектурных ограничений (Improper Platform Usage) Файл манифеста
M1.Обход архитектурных ограничений (Improper Platform Usage) Уязвимость в WEBVIEW - ПОТЕНЦИАЛЬНАЯ $ grep -nr 'setAllowUniversalAccessFromFileURLs' java_source java_source/com/facebook/react/views/webview/ReactWebViewManager.java:227: public void setAllowUniversalAccessFromFileURLs(WebView webView, boolean bl2) { java_source/com/facebook/react/views/webview/ReactWebViewManager.java:228: webView.getSettings().setAllowUniversalAccessFromFileURLs(bl2); $grep -nr 'setJavaScriptEnabled' java_source java_source/com/facebook/react/views/webview/ReactWebViewManager.java:242: public void setJavaScriptEnabled(WebView webView, boolean bl2) { java_source/com/facebook/react/views/webview/ReactWebViewManager.java:243: webView.getSettings().setJavaScriptEnabled(bl2);
M2. Небезопасное хранение данных (Insecure Data Storage)
M2. Небезопасное хранение данных (Insecure Data Storage) Вывод чувствительной информации в лог
M2. Небезопасное хранение данных (Insecure Data Storage) Место, которое выводит в лог чувствительную информацию
M3. Небезопасная передача данных (Insecure Communication) OTP возвращается в Response
M3. Небезопасная передача данных (Insecure Communication) Выполнение транзакций от имени другого пользователя
M4. Небезопасная аутентификация (Insecure Authentication) Эта категория относится к аутентификации конечного пользователя или неверное управление сеансами. Включает следующие пункты: • Отсутствие требования проверки идентификации пользователя ; • Отсутствие проверки контроля сеанса; • Недостатки управления сессиями.
M5. Слабая криптостойкость (Insufficient Cryptography Слабый алгоритм хеширования
M5. Слабая криптостойкость (Insufficient Cryptography Хранение пароля в хешированном виде
M5. Слабая криптостойкость (Insufficient Cryptography Подбор значения хэш-суммы
M5. Слабая криптостойкость (Insufficient Cryptography Использование уязвимой библиотеки
M6. Небезопасная авторизация (Insecure Authorization) Категория описывает недостатки авторизации (проверка (валидация) на стороне клиента, принудительный просмотр и т.д.). Такие события отличаются от проблем аутентификации (например, устройства регистрации, идентификации пользователей и т.д.). Если приложение не проходит проверку подлинности пользователей при необходимости (например, предоставление анонимного доступа к некоторым ресурсам или службам, при отсутствии проверки подлинности и запрета несанкционированного доступа), это является ошибкой проверки подлинности, а не сбоем авторизации.
M7. Контроль содержимого клиентских приложений (Client Code Quality) Статический анализ VCG scanner
Проверка на потенциальную инъекцию в БД M8. Модификация данных (Code Tampering)
Попытка модифицировать данные M8. Модификация данных (Code Tampering)
M8. Модификация данных (Code Tampering) Исходники реализации метода
M9. Анализ исходного кода (Reverse Engineering) Реализации метода проверки на включение Developer mode Реализации метода проверки на включение Developer mode grep -nr "development_settings_enabled" ********_v_0.9.2 Binary file: ********_v_0.9.2/build/apk/classes.dex matches ********_v_0.9.2/smali/o/xZ$1.smali:49: const- string v1, "development_settings_enabled"
M9. Анализ исходного кода (Reverse Engineering) Место проверки в коде Модифицируем
M9. Анализ исходного кода (Reverse Engineering) Developer mode - включён Запуск приложения
M10. Скрытый функционал (Extraneous Functionality) Часто разработчики включают в код приложений скрытые функциональные возможности, бэкдоры или другие механизмы, функциональность которых предназначена для общего использования. Под эту категорию подходит известное определение «security through obscurity». Разработчик может случайно оставить пароль в качестве комментария в гибридном приложении. Либо это может быть отключение двухфакторной аутентификации во время тестирования.
Выводы 1. OWASP Mobile TOP 10 позволяет в цифрах проанализировать колличество потенциальных и реальных уязвимостей. 2. Некоторые уязвимости можно одновременно отнести к разным категориям, что усложняет присвоение статуса критичности. 3. Наглядно продемонстрировал соотношение уязвимостей и инструментов тестирования
Any questions? Антонишин Михаил Informational security specialist m.antonishyn@hacken.io

Recommended

Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...vGate R2
 
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
OWASP Russia
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
Alexey Kachalin
 
Stonesoft: Безопасный удаленный доступ - это просто!
Stonesoft: Безопасный удаленный доступ - это просто!Stonesoft: Безопасный удаленный доступ - это просто!
Stonesoft: Безопасный удаленный доступ - это просто!Expolink
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 

Recommended

Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...vGate R2
 
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
OWASP Russia
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
Alexey Kachalin
 
Stonesoft: Безопасный удаленный доступ - это просто!
Stonesoft: Безопасный удаленный доступ - это просто!Stonesoft: Безопасный удаленный доступ - это просто!
Stonesoft: Безопасный удаленный доступ - это просто!Expolink
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Электронная аутентификация в государственных системах
Электронная аутентификация в государственных системахЭлектронная аутентификация в государственных системах
Электронная аутентификация в государственных системах
Mikhail Vanin
 
ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2
Компания УЦСБ
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификация
Mikhail Vanin
 
Secure bank-brochure-rus
Secure bank-brochure-rusSecure bank-brochure-rus
Secure bank-brochure-rus
Group-IB
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Expolink
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future NowDmitry Evteev
 
Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Trust screen и mac токен как элементы доверенной среды для противодействия хи...Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Trust screen и mac токен как элементы доверенной среды для противодействия хи...Expolink
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банковDmitry Evteev
 
Kaspersky Endpoint Security and Control - RUSSIAN
Kaspersky Endpoint Security and Control - RUSSIANKaspersky Endpoint Security and Control - RUSSIAN
Kaspersky Endpoint Security and Control - RUSSIANKirill Kertsenbaum
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
Expolink
 
Abashev
Abashev Abashev
Abashev
Andrew Paymushkin
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS1С-Битрикс
 
BYOD и решения для контроля мобильных устройств (MDM).
BYOD и решения для контроля мобильных устройств (MDM).BYOD и решения для контроля мобильных устройств (MDM).
BYOD и решения для контроля мобильных устройств (MDM).Cisco Russia
 
M2M to IoT - standartization_and_security #iotconfua
M2M to IoT - standartization_and_security #iotconfuaM2M to IoT - standartization_and_security #iotconfua
M2M to IoT - standartization_and_security #iotconfua
Andy Shutka
 
ИБ Стратегия обороны. Серия №1
ИБ Стратегия обороны. Серия №1ИБ Стратегия обороны. Серия №1
ИБ Стратегия обороны. Серия №1
Компания УЦСБ
 
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложенииQA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QAFest
 
Реальная защищенность или сертификат?
Реальная защищенность или сертификат?Реальная защищенность или сертификат?
Реальная защищенность или сертификат?
LETA IT-company
 
Sertificirovannie reshenia 2011 1
Sertificirovannie reshenia 2011 1Sertificirovannie reshenia 2011 1
Sertificirovannie reshenia 2011 1Karen Karagedyan
 

More Related Content

What's hot

Электронная аутентификация в государственных системах
Электронная аутентификация в государственных системахЭлектронная аутентификация в государственных системах
Электронная аутентификация в государственных системах
Mikhail Vanin
 
ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2
Компания УЦСБ
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификация
Mikhail Vanin
 
Secure bank-brochure-rus
Secure bank-brochure-rusSecure bank-brochure-rus
Secure bank-brochure-rus
Group-IB
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 
Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Expolink
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future NowDmitry Evteev
 
Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Trust screen и mac токен как элементы доверенной среды для противодействия хи...Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Trust screen и mac токен как элементы доверенной среды для противодействия хи...Expolink
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банковDmitry Evteev
 
Kaspersky Endpoint Security and Control - RUSSIAN
Kaspersky Endpoint Security and Control - RUSSIANKaspersky Endpoint Security and Control - RUSSIAN
Kaspersky Endpoint Security and Control - RUSSIANKirill Kertsenbaum
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
Expolink
 
BYOD и решения для контроля мобильных устройств (MDM).
BYOD и решения для контроля мобильных устройств (MDM).BYOD и решения для контроля мобильных устройств (MDM).
BYOD и решения для контроля мобильных устройств (MDM).Cisco Russia
 
M2M to IoT - standartization_and_security #iotconfua
M2M to IoT - standartization_and_security #iotconfuaM2M to IoT - standartization_and_security #iotconfua
M2M to IoT - standartization_and_security #iotconfua
Andy Shutka
 
ИБ Стратегия обороны. Серия №1
ИБ Стратегия обороны. Серия №1ИБ Стратегия обороны. Серия №1
ИБ Стратегия обороны. Серия №1
Компания УЦСБ
 

What's hot (19)

Электронная аутентификация в государственных системах
Электронная аутентификация в государственных системахЭлектронная аутентификация в государственных системах
Электронная аутентификация в государственных системах
 
ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификация
 
Secure bank-brochure-rus
Secure bank-brochure-rusSecure bank-brochure-rus
Secure bank-brochure-rus
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report Sample
 
Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
 
Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Trust screen и mac токен как элементы доверенной среды для противодействия хи...Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Trust screen и mac токен как элементы доверенной среды для противодействия хи...
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банков
 
Kaspersky Endpoint Security and Control - RUSSIAN
Kaspersky Endpoint Security and Control - RUSSIANKaspersky Endpoint Security and Control - RUSSIAN
Kaspersky Endpoint Security and Control - RUSSIAN
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
 
Abashev
Abashev Abashev
Abashev
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
BYOD и решения для контроля мобильных устройств (MDM).
BYOD и решения для контроля мобильных устройств (MDM).BYOD и решения для контроля мобильных устройств (MDM).
BYOD и решения для контроля мобильных устройств (MDM).
 
M2M to IoT - standartization_and_security #iotconfua
M2M to IoT - standartization_and_security #iotconfuaM2M to IoT - standartization_and_security #iotconfua
M2M to IoT - standartization_and_security #iotconfua
 
ИБ Стратегия обороны. Серия №1
ИБ Стратегия обороны. Серия №1ИБ Стратегия обороны. Серия №1
ИБ Стратегия обороны. Серия №1
 

Similar to Android application security assessment

QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложенииQA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QAFest
 
Реальная защищенность или сертификат?
Реальная защищенность или сертификат?Реальная защищенность или сертификат?
Реальная защищенность или сертификат?
LETA IT-company
 
Sertificirovannie reshenia 2011 1
Sertificirovannie reshenia 2011 1Sertificirovannie reshenia 2011 1
Sertificirovannie reshenia 2011 1Karen Karagedyan
 
White hat. случаи из практики
White hat. случаи из практикиWhite hat. случаи из практики
White hat. случаи из практики
InfoTeCS
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковMedia Gorod
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
DialogueScience
 
Емельянников_Безопасность электронного бизнеса
Емельянников_Безопасность электронного бизнесаЕмельянников_Безопасность электронного бизнеса
Емельянников_Безопасность электронного бизнесаMikhail Emeliyannikov
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Ukrainian information security group сидорова мария
Ukrainian information security group сидорова марияUkrainian information security group сидорова мария
Ukrainian information security group сидорова марияGlib Pakharenko
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Dmytro Petrashchuk
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
 
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...
Denis Gorchakov
 
вдали от фронтов большой кибервойны. концепция и средства «гражданской оборон...
вдали от фронтов большой кибервойны. концепция и средства «гражданской оборон...вдали от фронтов большой кибервойны. концепция и средства «гражданской оборон...
вдали от фронтов большой кибервойны. концепция и средства «гражданской оборон...Expolink
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
 
Positive Hack Days. Маньков.Технология контроля правильности функционирования...
Positive Hack Days. Маньков.Технология контроля правильности функционирования...Positive Hack Days. Маньков.Технология контроля правильности функционирования...
Positive Hack Days. Маньков.Технология контроля правильности функционирования...
Positive Hack Days
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
концепция и средства «гражданской обороны» корпоративной сети
концепция и средства «гражданской обороны» корпоративной сетиконцепция и средства «гражданской обороны» корпоративной сети
концепция и средства «гражданской обороны» корпоративной сетиExpolink
 

Similar to Android application security assessment (20)

QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложенииQA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
 
Реальная защищенность или сертификат?
Реальная защищенность или сертификат?Реальная защищенность или сертификат?
Реальная защищенность или сертификат?
 
Sertificirovannie reshenia 2011 1
Sertificirovannie reshenia 2011 1Sertificirovannie reshenia 2011 1
Sertificirovannie reshenia 2011 1
 
White hat. случаи из практики
White hat. случаи из практикиWhite hat. случаи из практики
White hat. случаи из практики
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
 
Емельянников_Безопасность электронного бизнеса
Емельянников_Безопасность электронного бизнесаЕмельянников_Безопасность электронного бизнеса
Емельянников_Безопасность электронного бизнеса
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
Ukrainian information security group сидорова мария
Ukrainian information security group сидорова марияUkrainian information security group сидорова мария
Ukrainian information security group сидорова мария
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
 
Kovalevsky_bifit
Kovalevsky_bifitKovalevsky_bifit
Kovalevsky_bifit
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
 
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...
 
вдали от фронтов большой кибервойны. концепция и средства «гражданской оборон...
вдали от фронтов большой кибервойны. концепция и средства «гражданской оборон...вдали от фронтов большой кибервойны. концепция и средства «гражданской оборон...
вдали от фронтов большой кибервойны. концепция и средства «гражданской оборон...
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
 
Positive Hack Days. Маньков.Технология контроля правильности функционирования...
Positive Hack Days. Маньков.Технология контроля правильности функционирования...Positive Hack Days. Маньков.Технология контроля правильности функционирования...
Positive Hack Days. Маньков.Технология контроля правильности функционирования...
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
 
концепция и средства «гражданской обороны» корпоративной сети
концепция и средства «гражданской обороны» корпоративной сетиконцепция и средства «гражданской обороны» корпоративной сети
концепция и средства «гражданской обороны» корпоративной сети
 

More from Mykhailo Antonishyn

Arcantos - web applications pentest tools
Arcantos - web applications pentest toolsArcantos - web applications pentest tools
Arcantos - web applications pentest tools
Mykhailo Antonishyn
 
Правила_кибер_гигиены_при_работе_с_криптовалютами.pdf
Правила_кибер_гигиены_при_работе_с_криптовалютами.pdfПравила_кибер_гигиены_при_работе_с_криптовалютами.pdf
Правила_кибер_гигиены_при_работе_с_криптовалютами.pdf
Mykhailo Antonishyn
 
Правила_кибер_гигиены.pdf
Правила_кибер_гигиены.pdfПравила_кибер_гигиены.pdf
Правила_кибер_гигиены.pdf
Mykhailo Antonishyn
 
Secure SDLC in mobile software development.
Secure SDLC in mobile software development.Secure SDLC in mobile software development.
Secure SDLC in mobile software development.
Mykhailo Antonishyn
 
Android application security testing
Android application security testingAndroid application security testing
Android application security testing
Mykhailo Antonishyn
 
Standards and methodology for application security assessment
Standards and methodology for application security assessment Standards and methodology for application security assessment
Standards and methodology for application security assessment
Mykhailo Antonishyn
 
Android pentesting
Android pentestingAndroid pentesting
Android pentesting
Mykhailo Antonishyn
 
Android pentesting
Android pentestingAndroid pentesting
Android pentesting
Mykhailo Antonishyn
 
Masters of transformation part 2
Masters of transformation part 2Masters of transformation part 2
Masters of transformation part 2
Mykhailo Antonishyn
 
Masterstvo transformacii part 1
Masterstvo transformacii part 1Masterstvo transformacii part 1
Masterstvo transformacii part 1
Mykhailo Antonishyn
 

More from Mykhailo Antonishyn (10)

Arcantos - web applications pentest tools
Arcantos - web applications pentest toolsArcantos - web applications pentest tools
Arcantos - web applications pentest tools
 
Правила_кибер_гигиены_при_работе_с_криптовалютами.pdf
Правила_кибер_гигиены_при_работе_с_криптовалютами.pdfПравила_кибер_гигиены_при_работе_с_криптовалютами.pdf
Правила_кибер_гигиены_при_работе_с_криптовалютами.pdf
 
Правила_кибер_гигиены.pdf
Правила_кибер_гигиены.pdfПравила_кибер_гигиены.pdf
Правила_кибер_гигиены.pdf
 
Secure SDLC in mobile software development.
Secure SDLC in mobile software development.Secure SDLC in mobile software development.
Secure SDLC in mobile software development.
 
Android application security testing
Android application security testingAndroid application security testing
Android application security testing
 
Standards and methodology for application security assessment
Standards and methodology for application security assessment Standards and methodology for application security assessment
Standards and methodology for application security assessment
 
Android pentesting
Android pentestingAndroid pentesting
Android pentesting
 
Android pentesting
Android pentestingAndroid pentesting
Android pentesting
 
Masters of transformation part 2
Masters of transformation part 2Masters of transformation part 2
Masters of transformation part 2
 
Masterstvo transformacii part 1
Masterstvo transformacii part 1Masterstvo transformacii part 1
Masterstvo transformacii part 1
 

Android application security assessment

  • 1. Android Application Security Assessment Антонишин Михаил Informational security specialist m.antonishyn@hacken.io
  • 2. Вид уязвимости по OWASP Top 10 Mobile M1. Обход архитектурных ограничений (Improper Platform Usage) M2. Небезопасное хранение данных (Insecure Data Storage) M3. Небезопасная передача данных (Insecure Communication) M4. Небезопасная аутентификация (Insecure Authentication) M5. Слабая криптостойкость (Insufficient Cryptography) M6 Небезопасная авторизация (Insecure Authorization) M7 Контроль содержимого клиентских приложений (Client Code Quality) M8 Модификация данных (Code Tampering) M9 Анализ исходного кода (Reverse Engineering) M10 Скрытый функционал (Extraneous Functionality)
  • 3. Инструменты тестирования  Apktool  Adb  Dex2jar  VCG scanner  JD-GUI  Genymotion  Pidcat  Drozer  BurpSuite  MobSF
  • 8. M1.Обход архитектурных ограничений (Improper Platform Usage) Уязвимость в WEBVIEW - ПОТЕНЦИАЛЬНАЯ $ grep -nr 'setAllowUniversalAccessFromFileURLs' java_source java_source/com/facebook/react/views/webview/ReactWebViewManager.java:227: public void setAllowUniversalAccessFromFileURLs(WebView webView, boolean bl2) { java_source/com/facebook/react/views/webview/ReactWebViewManager.java:228: webView.getSettings().setAllowUniversalAccessFromFileURLs(bl2); $grep -nr 'setJavaScriptEnabled' java_source java_source/com/facebook/react/views/webview/ReactWebViewManager.java:242: public void setJavaScriptEnabled(WebView webView, boolean bl2) { java_source/com/facebook/react/views/webview/ReactWebViewManager.java:243: webView.getSettings().setJavaScriptEnabled(bl2);
  • 10. M2. Небезопасное хранение данных (Insecure Data Storage) Вывод чувствительной информации в лог
  • 11. M2. Небезопасное хранение данных (Insecure Data Storage) Место, которое выводит в лог чувствительную информацию
  • 12. M3. Небезопасная передача данных (Insecure Communication) OTP возвращается в Response
  • 13. M3. Небезопасная передача данных (Insecure Communication) Выполнение транзакций от имени другого пользователя
  • 14. M4. Небезопасная аутентификация (Insecure Authentication) Эта категория относится к аутентификации конечного пользователя или неверное управление сеансами. Включает следующие пункты: • Отсутствие требования проверки идентификации пользователя ; • Отсутствие проверки контроля сеанса; • Недостатки управления сессиями.
  • 15. M5. Слабая криптостойкость (Insufficient Cryptography Слабый алгоритм хеширования
  • 16. M5. Слабая криптостойкость (Insufficient Cryptography Хранение пароля в хешированном виде
  • 17. M5. Слабая криптостойкость (Insufficient Cryptography Подбор значения хэш-суммы
  • 18. M5. Слабая криптостойкость (Insufficient Cryptography Использование уязвимой библиотеки
  • 19. M6. Небезопасная авторизация (Insecure Authorization) Категория описывает недостатки авторизации (проверка (валидация) на стороне клиента, принудительный просмотр и т.д.). Такие события отличаются от проблем аутентификации (например, устройства регистрации, идентификации пользователей и т.д.). Если приложение не проходит проверку подлинности пользователей при необходимости (например, предоставление анонимного доступа к некоторым ресурсам или службам, при отсутствии проверки подлинности и запрета несанкционированного доступа), это является ошибкой проверки подлинности, а не сбоем авторизации.
  • 20. M7. Контроль содержимого клиентских приложений (Client Code Quality) Статический анализ VCG scanner
  • 21. Проверка на потенциальную инъекцию в БД M8. Модификация данных (Code Tampering)
  • 22. Попытка модифицировать данные M8. Модификация данных (Code Tampering)
  • 23. M8. Модификация данных (Code Tampering) Исходники реализации метода
  • 24. M9. Анализ исходного кода (Reverse Engineering) Реализации метода проверки на включение Developer mode Реализации метода проверки на включение Developer mode grep -nr "development_settings_enabled" ********_v_0.9.2 Binary file: ********_v_0.9.2/build/apk/classes.dex matches ********_v_0.9.2/smali/o/xZ$1.smali:49: const- string v1, "development_settings_enabled"
  • 25. M9. Анализ исходного кода (Reverse Engineering) Место проверки в коде Модифицируем
  • 26. M9. Анализ исходного кода (Reverse Engineering) Developer mode - включён Запуск приложения
  • 27. M10. Скрытый функционал (Extraneous Functionality) Часто разработчики включают в код приложений скрытые функциональные возможности, бэкдоры или другие механизмы, функциональность которых предназначена для общего использования. Под эту категорию подходит известное определение «security through obscurity». Разработчик может случайно оставить пароль в качестве комментария в гибридном приложении. Либо это может быть отключение двухфакторной аутентификации во время тестирования.
  • 28. Выводы 1. OWASP Mobile TOP 10 позволяет в цифрах проанализировать колличество потенциальных и реальных уязвимостей. 2. Некоторые уязвимости можно одновременно отнести к разным категориям, что усложняет присвоение статуса критичности. 3. Наглядно продемонстрировал соотношение уязвимостей и инструментов тестирования
  • 29. Any questions? Антонишин Михаил Informational security specialist m.antonishyn@hacken.io