mDevTalk #8: 25. 5. 2017

2. MILAN OULEHLA
Security researcher, Pentester, PT LAB - Penetration Testing LABoratory

3. Bezpečnost mobilních aplikací na
platformě Android

4. Úvod
Člen PT LAB – Penetration Testing Laboratory -
http://ptlab.fai.utb.cz/oulehla/
Nezávislý konzultant v oblasti penetračního
testování na mobilní platformě s důrazem na
Android OS

5. Úvod
Spolupráce s OWASP (přednáška OWASP Czech
Chapter Meeting)
Doktorské studiu na Fakultě aplikované
informatiky Univerzity Tomáše Bati ve Zlíně
Výzkumu v oblastech aplikační bezpečnosti a
detekci mobilního malware pomocí
neuronových sítí.

6. Úvod
Přednáška je postavena na chybách ze
skutečných aplikací.
Zdroje:
• PT LAB
• Má penetrační praxe
• Sledování programátorských fór (např.
http://stackoverflow.com a další)

7. Úvod
NENÍ ZVEŘEJNĚNA ANI ČÁRKA Z ORIGINÁLNÍCH
ZDROJOVÝCH KÓDŮ MÝCH ZÁKAZNÍKŮ NEBO
ZÁKAZNÍKŮ PT LABU!
NEDOZVÍTE SE ANI IDENTITU APLIKACÍ ANI
IDENTITU ZÁKAZNÍKŮ!
Vždy jsem si vzal princip dané zranitelnosti a vše
jsem naprogramoval sám.

8. Úvod
Jedná se o skici => určité zjednodušení aby
vynikla daná zranitelnost
Chráněná část aplikace, placená funkcionalita =
aktivita

9. Útok pomocí syntaktické analýzy
Ukázat „kombajn“ na PasswordClass.apk
Analýza 1:
APKTool: APK --> *.smali
Rekurzivní vyhledávání pomocí regulárních výrazů uvnitř
souborů
Analýza 2:
Dex2jar: APK --> JAR
Rekurzivní vyhledávání pomocí regulárních výrazů uvnitř
souborů

10. Semiobfuskace
Samovysvětlující název: Semiobfuskovaný název:
třída: třída:
CheckCredentials ProcessTexts
metoda: metoda:
performAuthentication checkTextIntegrity
proměnná: proměnná:
password text_pattern

11. Log Leakage
3xZ:
Zabezpečená síťová komunikace
Zabezpečená mobilní aplikace
Zapomenuté logy
=> Všechna práce se zabezpečováním
• mobilních aplikací,
• síťové komunikace,
• serveru
byla na nic!

12. Log Leakage
d(String tag, String msg, Throwable tr)
d(String tag, String msg)
...
e(String tag, String msg, Throwable tr)
e(String tag, String msg)
...
println(int priority, String tag, String msg)

13. Log Leakage

14. Zdroj:
https://developer.android.com/reference/android/util/Log.html

15. Log Leakage
Ukázat Log Leakage na aplikaci
BestMaps9.apk

16. Log Leakage

17. Log Leakage

18. Single-Jump Attack
Cenná funkcionalita
Začátek
Ochranná část kódu

19. Single-Jump Attack
Cenná funkcionalita
Začátek
Ochranná část kódu
:navesti
goto :navesti

20. Single-Jump Attack
Princip aplikace BestGame6.apk

21. isFirstRu
n()?
Start
MainActivity
Finish()
Vytvoří klíče a
uloží je v
KeyStore
/data/data/cz.utb.fai.bestgame6_ptlab/shared_prefs/app_protection.xml
rov
nají
se?
Rozšifrování
passwd_key
pomocí klíče z
KeyStore
Ne
Ne
Ano
Ano

22. Single-Jump Attack
Ukázat Single-Jump Attack na aplikaci
BestGame6.apk

23. Multi-Jump Attack
Ochranná část kódu 1
Cenná funkcionalita 1
Začátek
Ochranná část kódu 2
Cenná funkcionalita 2
Ochranná část kódu 3
Cenná funkcionalita 3

24. Multi-Jump Attack
Ukázat Multi-Jump Attack na aplikaci:
RE2Multi-Jump.apk
• Nejprve nainstalovat a spustit původní app
• Pak teprve nainstalovat HACKED verzi

25. Negation Attack
Jeden z důvodů proč nepoužívat single factor
authentication.

26. Negation Attack
Nezajímavý kód (např.
nová výzva k zadaní
platného hesla)
Cenná funkcionalita
Ověření
Úspěšné Neúspěšné
Nezajímavý kód (např.
nová výzva k zadaní
platného hesla)
Cenná funkcionalita
Ověření
Úspěšné Neúspěšné

27. Negation Attack
Princip aplikace BestMaps.apk

28. Přihlašovací údaje jsou ověřeny serverem
Tady mimo aplikaci!
Třída: ServerAuthentication
Metoda performAuthentication() // public
Bylo ověření
úspěšné?
NE
Opětovná výzva k zadaní přihlašovacích údajů
Login:user111
Password: heslo
ANO
Je spuštěna chráněná/placená část aplikace

29. Přihlašovací údaje jsou ověřeny serverem
Tady mimo aplikaci!
Třída: ServerAuthentication
Metoda performAuthentication() // public
Bylo ověření
úspěšné?
ANO!
Opětovná výzva k zadaní přihlašovacích údajů
Login:user111
Password: heslo
NE!
Je spuštěna chráněná/placená část aplikace

30. loginEditText = (EditText)findViewById(R.id.input_login);
passwordEditText = (EditText)findViewById(R.id.input_password);
...
...
public void checkCredentials_onClick(View v)
{
ServerAuthentication serverAuthentication = new
ServerAuthentication(loginEditText.getText().toString(), passwordEditText.getText().toString());
if(serverAuthentication.performAuthentication())
{
loginEditText.setText("");
passwordEditText.setText("");
Intent intent = new Intent(context, BestMapsActivity.class);
startActivity(intent);
}
else
{
loginEditText.setText("");
passwordEditText.setText("");
Toast.makeText(context, "Wrong Credentials", Toast.LENGTH_LONG).show();
}
}

31. Negation Attack
if(serverAuthentication.performAuthentication())
{
// přihlašovaní údaje jsou platné
// chráněná funkcionalita
}
else
{
// přihlašovaní údaje nejsou platné
// výzva k opětovnému zadání přihlašovacích údajů
}
Vrací:
true = přihlašovaní údaje byly ověřeny
false = přihlašovaní údaje nebyly ověřeny

32. Negation Attack
if(!serverAuthentication.performAuthentication())
{
// přihlašovaní údaje nejsou platné
// chráněná funkcionalita
}
else
{
// přihlašovaní údaje jsou platné
// výzva k opětovnému zadání přihlašovacích údajů
}

33. Negation Attack
Ukázat Negation Attack na aplikaci
BestMaps.apk

34. Removal Attack
Ochranná část kódu
Cenná funkcionalita
Začátek
Cenná funkcionalita
Začátek
Spouští
Ne vždy lze použít Negation Attack, proto existuje Removal Attack,
který je složitější ale mnohem ničivější
Pozor na PŘÉPSÁNÍ nebo ODSTRANĚNÍ aktivního obsahu registrů !!!

35. Removal Attack
Ukázat Removal Attack na aplikaci
BestMaps.apk

36. Pár slov na konec
• Neošetřené vstupy
• Nešifrovaná komunikace mezi mobilní aplikací
a serverem
• Citlivé údaje nešifrované v lokální databázi
• Poskytovatelé obsahu bez korektního
zabezpečení

37. Děkuji Vám za pozornost