An analysis report of Beijing Olympics Winter Games 2022 official Android app (OWASP Saitama MTG #6, talk #1)

1. BEIJING REPORT 2022
OWASP SAITAMA MTG. #6; TALK #1
Image by tomislav domes on flickr, CC-BY 2.0

2. TEXT
SESSION FLAGS
▸ 録音・録画・内容公開: OK
Image by Nico Kaiser on flickr, CC-BY 2.0

3. TEXT
WHO I AM
▸ Takahiro Yoshimura (@alterakey)
https://keybase.io/alterakey
▸ Monolith Works Inc.
Co-founder, CTO
Security researcher
▸ 明治大学サイバーセキュリティ研究所
客員研究員

4. TEXT
WHAT I DO
▸ Security research and development
▸ iOS/Android Apps
→Financial, Games, IoT related, etc. (>200)
→trueseeing: Non-decompiling Android Application
Vulnerability Scanner [2017]
▸ Windows/Mac/Web/HTML5 Apps
→POS, RAD tools etc.
▸ Network/Web penetration testing
→PCI-DSS etc.
▸ Search engine reconnaissance
(aka. Google Hacking)
▸ Whitebox testing
▸ Forensic analysis

5. TEXT
WHAT I DO
▸ CTF
▸ Enemy10, Sutegoma2
▸ METI CTFCJ 2012 Qual.: Won
▸ METI CTFCJ 2012: 3rd
▸ DEF CON 21 CTF: 6th
▸ DEF CON 22 OpenCTF: 4th
▸ 発表・講演など
DEF CON 25 Demo Labs (2017)
DEF CON 27 AI Village (2019)
CODE BLUE (2017, 2019)
CYDEF (2020) etc.
Image by Wiyre Media on flickr, CC-BY 2.0

6. TEXT
BACKGROUND / RELATED WORKS
▸ 米Citizen Labsからの報告
▸ 各国とも選手に個人のスマートフォンを持ち込
まないようにとの呼び掛け
▸ 背景は？関連は？
→世界中の注目を集めている問題; e.g.
https://github.com/jonathandata1/
2022_beijing [1]

7. TEXT
TARGET
▸ 「冬奥通 2022」
(com.systoon.dongaotoon)
▸ 2.0.2 (2111271430) - 12/17

8. TEXT
TOOLCHAINS
▸ Trueseeing: Non-decompiling vuln. scanner
(alterakey et al.) - 2.1.1.1
▸ Ghidra: Multi-arch disassembler (NSA!)
- 10.1.1-PUBLIC
▸ Radare2: Multi-arch binary analysis framework
(pancake et al.) - 5.5.4
Swiss Army Knife on black by Edgar Pierce on flickr, CC-BY 2.0

9. TEXT
FINDINGS
▸ trueseeing
▸ 大量の権限要求
→ほぼバックドアと言っても良いのでは…
▸ 限定的なDNS over API (DoA) の示唆
→プライバシーの懸念
▸ 大きなWebView
→HTML5アプリケーション？

10. TEXT
FINDINGS
▸ HTML5… シグニチャを適当に追加
▸ Assetによる平文通信
▸ Asset MIMEタイプ定性的相違
▸ Asset流し読み
▸ User extension (2.1.1~)
▸ module: ~/.trueseeing2/ext
▸ mypy: 型チェックも補完も可能！

11. TEXT
FINDINGS
▸ HTML5… シグニチャを適当に追加
▸ https://gist.github.com/alterakey/
e1e92bdfdad25587ebeda2267b389fc2

12. TEXT
FINDINGS
▸ trueseeing
▸ 大量の権限要求、変なContentProvider
▸ 不自然なAssetタイプ→モリモリ
▸ Assetによる平文通信→モリモリ
▸ 疑わしい文字列→モリモリ

13. TEXT
FINDINGS
▸ trueseeing
▸ 重要？: 疑わしい文字列; 禁止ワード類？, e.g.
▸ 日本関連:
大日本万岁 (∼万歳) / 日本千岛片出售 / 亲日 (親∼) など
※愛国無罪系,ヒトラー系文言は含まれていない
▸ 体制批判系:
打倒共産党 / CO2狗出售 / 共残党 / 反共 など
▸ 天安門事件系; 法輪功系
天安門事件 / 1989年6月3日 (なぜ3日？) / 198964 など、
PowertotheFalunGong など

14. TEXT
FINDINGS
▸ trueseeing
▸ 重要: MIMEタイプ不整合
▸ 隠 の意図？ 暗号化 etc.
▸ PNG -> JSON
(平文通信URLが大量に)
▸ JS -> binary
(既知の圧縮ではない形式)

15. TEXT
FINDINGS
▸ trueseeing
▸ 重要: 限定的なDNS over API
重要: 平文通信対象が地図タイル等
▸ どこに居てもDNSが握られている上に
所在地がだだ漏れ
▸ おそらくこれが指摘要因の一つ

16. TEXT
FINDINGS
▸ trueseeing
▸ 重要: 大量の権限要求
（メーカ固有のものを含むほぼ全ての権限）
▸ 電話/SMS、連絡先の操作、位置情報、Wi-
Fi、etc, etc.
▸ コンテンツは完全にリモートから提供
実質的なバックドアを構成
▸ これも指摘要因の一つ

17. TEXT
… WAIT!
▸ 本当にそんな挙動なのか？
▸ HTML5 App Containerは権限要求しがち
▸ 検出されたクラス数: 11 ..?
▸ 明らかにおかしい
サイズ (smali合計): 102487
サイズ (classes.dex): 66216008
Image by Mo Riza on flickr, CC-BY 2.0

18. TEXT
REVERSE ENGINEERING
▸ AndroidManifest.xml
▸ minSDKVersion: 21 ..
▸ ApplicationContainerFactoryを指定
▸ NativeActivityの関与示唆なし
▸ 参照しているコンポーネントがsmali中にない
→通常ではない

19. TEXT
REVERSE ENGINEERING
▸ Smaliファイル群
▸ Debug系APIの不自然な呼び出し
→通常ではない
▸ 逆アセンブルがまともにできていない？
→trueseeingの問題？いえ違いますよ…

20. TEXT
IMAGE ANALYSIS
▸ radare2: classes.dexの内容分布
▸ 正常なのはごく一部
→それにしてもゴミが散りばめられている
▸ その他は高エントロピーのデータ
▸ Dalvik VMのISAはそこまで効率が良くない
▸ 書いてあることも支離滅裂
→非包括的な暗号化の可能性
▸ エラーが出ないのはなぜ？

21. TEXT
IMAGE ANALYSIS
▸ エラーが出ないのはおそらく… (以下推定)
▸ 正常なdexは必要最小限に
▸ それに暗号化した実体を末尾に連結などする
→Paddingでもないので多分文句ないはず

22. TEXT
IMAGE ANALYSIS
▸ 難読化機構の作用機序はおそらく…
▸ ローダが実行される
▸ 参照によりJNIが初期化される
▸ JNIがbase.apkなどからdexを読んで復号化、
ACFの求めに応じて実体を作成し提供
※実体=Veneer [jclass] + impl. [C/C++]
Image by blinking idiot on flickr, CC-BY-ND 2.0

23. TEXT
IMAGE ANALYSIS
▸ 裏付け
▸ Ghidra: libDexHelper.so
→ 重点的な難読化
▸ trueseeing: JNI参照の検出

24. TEXT
ANOTHER PERSPECTIVE
▸ 動的解析
▸ 動作させる
▸ エミュレータ: 32bit [armeabi, armeabi-v7a]
→M1では不可能 (aarch64のみ)
→x86が必要
▸ 実機 → 今回はパス; 端末調達の問題
Image by Raúl González on flickr, CC-BY 2.0

25. TIME OUT
Image by Clyde Robinson on flickr, CC-BY 2.0

26. TEXT
ANOTHER PERSPECTIVE
▸ 参考: トラフィック解析を行なった例 [1]
▸ 公式ページからのトラフィック
※該当箇所として挙げているURLが多分違う
https://my2022.beijing2022.cn/homepage-
api/static/js/app.ea18d9374a91d4a93c17.js
※”decompile” ≒ “beautify” (un-minify)
▸ 深い懸念を抱かざるを得ない内容

27. TEXT
NEXT ACTION
▸ 全ロジックの解読
▸ 完全メモリダンプの分析が多分有効
▸ エミュレータが便利
Image by thtstudios on flickr, CC-BY-NC-ND 2.0

28. TEXT
TAKEAWAYS
▸ 北京五輪公式アプリ
▸ 当局は全関係者にインストールを要求
▸ 各国は選手などに個人端末を持ち込まないよう
に通知
▸ 米Citizen Labsからの懸念
→現在世界中の注目を集めている問題

29. TEXT
TAKEAWAYS
▸ 懸念は至極妥当と考えられる
▸ 大量の権限要求および平文通信
▸ DNS over API + 「不正」語句
→検知されたらどうなってしまうのか…？
▸ ほぼ全域に渡る暗号化ロジック
→隠 の強い意図を感じる面白い構造
▸ アプリの機能全てがリモートからコントロール
可能な状態 → ほぼバックドアと見て良い
Image by *Yu7yU* on flickr, CC-BY-NC-ND 2.0

30. TEXT
TAKEAWAYS
▸ radare2の分布解析はかなり有効
(VV → p → p → p → p)
▸ またr2はdalvikコード解析にもかなり有効
▸ trueseeing: rebooted (2.1.1.1; ~4w iter.)
https://github.com/alterakey/trueseeing
▸ 書いたextensionはこちら:
https://gist.github.com/alterakey/
e1e92bdfdad25587ebeda2267b389fc2

31. TEXT
TAKEAWAYS
▸ Related works:
[1] https://github.com/
jonathandata1/2022_beijing

32. Q?

33. FIN.
24.1.2022 TAKAHIRO YOSHIMURA (@ALTERAKEY)