Describing various attack methods on Android/iOS apps. This time I decided to take a quick dive into actual analysis session on the a-bit-hardened InsecureBankV2 with Trueseeing (for #kyusec, Kyushu Security Conference 2018)

1. OUTSMARTING
SMARTPHONE
APPS 2
Takahiro Yoshimura
(@alterakey)
filed by Tengrain on flickr, CC-BY-NC 2.0

2. WHO I AM
➤ 吉村 孝広(@alterakey)
https://keybase.io/alterakey
➤ Monolith Works Inc.
Co-founder

3. WHAT I DO
➤ Security research and development
➤ iOS/Android Apps
→Financial, Games, IoT related,
etc. (>200)
→trueseeing: Non-decompiling
Android Application Vulnerability
Scanner [2017]
➤ Windows/Mac/Web/HTML5 Apps
→POS, RAD tools etc.
➤ Network/Web penetration testing
→PCI-DSS etc.
➤ Search engine reconnaissance
(aka. Google Hacking)
➤ Whitebox testing
➤ Forensic analysis

4. WHAT I DO
➤ CTF
➤ Enemy10, Sutegoma2
➤ METI CTFCJ 2012 Qual.: 優
勝
➤ METI CTFCJ 2012: 3位
➤ DEF CON 21 CTF: 6位
➤ DEF CON 22 OpenCTF: 4位
➤ 講演:
DEF CON 25 Demo Labs
CODE BLUE 2017 etc.
DEFCON 2016 by Wiyre Media on flickr, CC-BY 2.0

5. OVERVIEW
➤ モダンなスマートフォンアプリ解析の実際（特にAndroid）
➤ Reconnaissance: 情報収集
➤ The Communication: トラフィック解析
➤ The Storage: ストレージ解析
➤ The Friends: IPC
➤ The Web: WebViewの取扱い
➤ The Identity: 端末環境
➤ The Backend: API・関連サービス
➤ Going Beyond: その他

6. THE TARGET
➤ InsecureBankV2
➤ ユーザID/パスワードを保存
➤ SharedPreferences
➤ 暗号化 (AES-CBC-256)
➤ 取引情報を保存・レビュー可

7. THE TARGET — HARDENED!
➤ Target API: 25
➤ APIサーバ接続をTLS化
➤ ProGuardによる難読化
Google推奨レベルを越える
(HV class merge etc.)

8. RECONNAISSANCE
For the Record by Nimfolb on flickr, CC-BY-NC 2.0

9. STATIC ANALYSIS
➤ バイナリを持つ攻撃者が実行
➤ 可読化することで機密情報奪
取や内部状態解析を行なう攻
撃
➤ dex2jar→decompileが一般的
➤ JD-GUI (古い)
➤ CFR

10. DECOMPILE: JD-GUI
➤ 古くからあるdecompiler
➤ 失敗
➤ 難読化の影響

11. DECOMPILE: CFR
➤ 新しいdecompiler
➤ 失敗
➤ 難読化の影響

12. WHY IS DECOMPILING HARD?
➤ 難読化による妨害
➤ フローの攪乱
➤ 共通コードパターンの攪乱
(e.g. function prologue/
epilogue)
Bitscuits by Barnet LIvingston on flickr, CC-BY-SA 2.0

13. GO DIRECT: TRUESEEING
➤ True Seeing (Div. Sor/Wiz 6)
➤ 静的解析ツール
➤ 逆コンパイラを排除
➤ 難読化の影響を受けない
(ProGuard/R8)
➤ patch: 一部問題の自動改修
➤ grab: apk摘出
➤ exploit
➤ Python 3.6ならpip一発

14. ACCURATE
➤ Dalvikコードから直接データ
フローを解析
➤ Lenient Backtracking
➤ Call stack tracing
➤ Static tracing
➤ Instansic tracing

15. DATAFLOW TRACING (1)
➤ Lenient Backtracking
➤ 「関心点」から引数まで
➤ 関心点が何らかの定数に帰
着させられないか追跡
(関心点を「解く」)
➤ 関心点の例
➤ API呼び出しの引数 etc.
➤ レジスタの参照/書込を対応
➤ move*, const*

16. DATAFLOW TRACING (2)
➤ Call tracing
➤ 引数から呼び出し元へ
➤ Call stackの上位へ波及
➤ p*の特殊な取扱い
➤ R8がp*を積極的に再利用す
る例

17. DATAFLOW TRACING (3)
➤ Static trace
➤ sget/sputを対応
➤ sputを解く

18. DATAFLOW TRACING (4)
➤ Instansic trace
➤ iget/iputを対応
➤ インスタンス同一性無視
(WIP)
➤ iputを解く

19. VERSATILE (1)
➤ OWASP Mobile Top 10 (2016)の広範囲を
カバー
➤ M1: 不適切なCP/BRの公開, プライバ
シーの懸念, 有効なdebug/backupビット
etc.
➤ M2: 安全でないファイルパーミッショ
ン, ログ出力がある問題 etc.
➤ M3: 平文通信, TLS non-pinning etc.
➤ M5: 固定パラメータによる暗号系の使
用 etc.
➤ M7: WebView関連の脆弱性 etc.
➤ M8: 公開鍵が埋め込まれている問題 etc.
➤ M9: 難読化の欠如

20. VERSATILE (2)
➤ 問題の自動改修(一部)
➤ 例: Removing (in smali)
➤ insnの削除
➤ 再アセンブル

21. AS AN EXPLOITATION TOOL
➤ デバッグ有効化
➤ フルバックアップ有効化
➤ 署名の置き換え
➤ TLS un-pinning (declarative)

22. REPORTING
➤ 分かりやすく詳細なレポート
➤ HTML: 人間向け
➤ Text: CI向け
➤ Continuous security
(継続的セキュリティ)

23. FREE AS FREEDOM
➤ GPL-3
➤ https://github.com/
monolithworks/trueseeing
➤ 永久に自由
Freedom by Mochamad Arief on flickr, CC-BY-NC-ND 2.0

24. TRUESEEING
➤ done！

25. THE COMMUNICATION
For the Record by Nimfolb on flickr, CC-BY-NC 2.0

26. TRANSPORT LAYER SECURITY
➤ 傍受・改竄
➤ TLS interception
➤ rooted端末の使用
→省略
https by Sean MacEntee on flickr, CC-BY 2.0

27. TLS INTERCEPTION
➤ 端末を持つ攻撃者が実行
➤ 証明書ストアへ証明書を導入、
信頼させてTLS通信を傍受改竄
する攻撃
➤ mitmproxy / Burp Suite

28. TLS INTERCEPTION?
➤ API >23では通常取れない
→暗黙的なPinningが原因
➤ trueseeingで外す
—exploit-disable-pinning

29. TLS INTERCEPTION!
➤ done!

30. THE STORAGE
For the Record by Nimfolb on flickr, CC-BY-NC 2.0

31. STORAGE
➤ 汚染・解読
➤ バックアップ攻撃
➤ 暗号系への攻撃
➤ 固定キーの解析
➤ 既知平文攻撃
➤ ログ収集
garbage faggot wedding by jes on flickr, CC-BY-SA 2.0

32. BACKUP ATTACK
➤ 端末を保持する攻撃者が実行
➤ バックアップを通してデータ
を窃取改竄する攻撃
➤ adb
Android Backup Extractor

33. STATIC KEY ANALYSIS
➤ 対象のバイナリを持つ攻撃者
が実行
➤ 対象が使用する暗号系および
キーを割出し、暗号文の盗聴
改竄を行なう攻撃
➤ trueseeing
CFR / lilac
Radare2
IDA

34. STATIC KEY ANALYSIS
➤ 実際の記述
➤ 多くの場合ハードコード
➤ パスワードが解読成功
(PKCS5 paddingに留意)
➤ 推論の正しさが示された

35. KNOWN-PLAINTEXT ATTACK
➤ 暗号文を傍受でき、かつ任意
の平文を暗号系に渡せる攻撃
者が実行
➤ 暗号系に対する、既知の平文
と暗号文の関連を利用する攻
撃一般
➤ 主に以下の解読に使用
➤ ECB
➤ CBC (IV固定)
➤ Python: pycryptodome
Máquina Enigma by Leandro Neumann Ciuffo on flickr, CC-BY 2.0

36. KNOWN-PLAINTEXT ATTACK
➤ CBCモードだがIV固定の例
➤ IV: 0x00 * 16 (固定)
➤ 先頭ブロックがECBと等価
➤ trueseeing: 検出なし
➤ 配列の定数性を見ないため
Máquina Enigma by Leandro Neumann Ciuffo on flickr, CC-BY 2.0

37. LOG DETECTION
➤ 静的に検出
➤ trueseeing

38. LOG DETECTION
➤ 実際の記述
➤ “newpassword” in string
extra?
➤ System.out.printlnを使用
➤ あまりAndroidっぽくない
➤ Javaがバックグラウンド？

39. THE FRIENDS
For the Record by Nimfolb on flickr, CC-BY-NC 2.0

40. IPC
➤ 探索
➤ マニフェスト分析
➤ 盗聴
➤ Intent sniffing
→省略
➤ 汚染
➤ Intent fuzzing
→省略
the ties that bind by jes on flickr, CC-BY-NC-ND 2.0

41. MANIFEST ANALYSIS
➤ マニフェスト分析
➤ trueseeing
apktool

42. MANIFEST ANALYSIS
➤ 実際の記述
➤ exported=“true”
➤ globally uniqueでないaction
➤ IntentFilterの定義でも暗黙的
にexportされることに留意

43. THE WEB
For the Record by Nimfolb on flickr, CC-BY-NC 2.0

44. WEBVIEW
➤ 汚染
➤ TLS interception
→省略
➤ DNS/ARP cache poisoning
➤ その他
➤ 認証情報・履歴奪取
➤ Web storage scavenging
➤ trueseeing (検出のみ)
UBC - default webview coding in progress by James Cridland on flickr, CC-BY 2.0

45. DNS CACHE POISONING
➤ 同一ネットワークに存在する
攻撃者が実行
➤ DNS resolverへの返答を偽造
しresolverのキャッシュを汚染
する攻撃
➤ ettercap

46. ARP CACHE POISONING
➤ 同一ネットワークに存在する
攻撃者が実行
➤ ARP返答を偽造しキャッシュ
を汚染する攻撃
➤ ettercap

47. CASE
➤ 対象の場合
➤ WebViewはある
➤ 汚染可能性の示唆
➤ 視覚的に(多分)重要
➤ PinningされたTLS接続以外
からデータをロード

48. CASE
➤ 確かに全画面WebView
➤ Transferログ (HTML) を表示
→file://から
→TLS接続ではないが……
➤ 視覚的に重要だが誤検知
➤ せっかくなので深堀り…

49. CASE
➤ Transferログの作成部分
➤ エスケープされていない
➤ from
➤ to
➤ amount
➤ 外部ストレージに保存
➤ 改竄可能
➤ たまたま

50. CASE
➤ Client-side XSS
→せっかくなので汚染
➤ trueseeing: 課題
➤ file://の推論
➤ XSS可能性の鑑別が甘い

51. WEB STORAGE SCAVENGING
➤ 端末を保持する攻撃者が実行
➤ Cookie Store/storageのバック
アップから認証情報や履歴を
奪取する攻撃
➤ バックアップ攻撃の一種
➤ adb
Android Backup Extracter
➤ 余談

52. THE BACKEND
For the Record by Nimfolb on flickr, CC-BY-NC 2.0

53. API
➤ 傍受・改竄
➤ TLS interception
→省略
➤ 認証情報奪取
➤ 固定キーの解析
→省略
API by SimonOx on flickr, CC-BY 2.0

54. ENDPOINT DETECTION
➤ エンドポイントの検出
➤ FQDN/IPっぽい情報
➤ trueseeing / strings etc.

55. ENDPOINT DETECTION
➤ 実際の記述
➤ 誤検知も多いが役立つ情報源
➤ 関連サービス
➤ Covert channelの検出
etc..
➤ 固定キーの検出でAPIアクセス
ごと取れるケースもある

56. THE IDENTITY
For the Record by Nimfolb on flickr, CC-BY-NC 2.0

57. ROOTED DEVICE DETECTION
➤ 回避
➤ rootマネージャ隠蔽
➤ 一時削除
➤ バイナリ改竄 (まれ)
➤ adb
rootマネージャ
trueseeing
API by SimonOx on flickr, CC-BY 2.0

58. ROOTED DEVICE DETECTION
➤ パス検出からの示唆
➤ 特定ファイル検出
➤ 特定ファイル実行
➤ etc..
➤ エミュレータ環境検知不存在
➤ trueseeing / strings etc.

59. ROOTED DEVICE DETECTION
➤ 実際の記述
➤ which suを実行→確認
➤ SuperUser.apkの存在確認も
併用 (省略)
➤ エミュレータでも起動
➤ 甘い
➤ 本来はSafetyNet+改竄確認
して欲しい

60. GOING BEYOND
Files by Takashi Toyooka on flickr, CC-BY-NC 2.0

61. USER INTERACTION
➤ 自動化
➤ UIテスト機構

62. AUTOMATIC INTERACTION
➤ adb接続できる攻撃者が実行
➤ ユーザ操作を自動化する攻撃
➤ Android:
adb

63. FORENSIC ANALYSIS
➤ 機密情報窃取・暗号解読・ア
クセス制御突破
➤ 強制デバッグ攻撃
➤ メモリダンプ攻撃
Forensics Investigator Cake by Copy Cake Bakery on flickr, CC-BY-NC-ND 2.0

64. FORCED DEBUGGING
➤ adb/jdb/gdb接続できる攻撃者が実
行
➤ 強制デバッグによってアクセス制
御突破や情報摘出を狙う攻撃
➤ 野蛮強力な手法
➤ 暗号化ロジックの解読
➤ アンチデバッグ機構の無効化
➤ 改竄検知の無効化 etc.
➤ trueseeing
adb / jdb
gdb / gdbserver / lldb / lldb-server
etc.
Nexus 5 after final screen incident by Jarek Piórkowski on flickr, CC-BY-NC 2.0

65. MEMORY DUMP
➤ 対象を動作させられる攻撃者が実
行
➤ 対象のメモリイメージを取得し、
内部状態を包括的に把握する攻撃
➤ 強制デバッグ攻撃との併用で不正
端末の介在は不要（あれば楽）
➤ trueseeing
adb / jdb
gdb / gdbserver / lldb / lldb-
server
Android Emulator
“rooted” devices

66. .. SO?
Amy & Roger’s Photo Booth by ESL Photography & Design on flickr, CC-BY-NC-ND 2.0

67. TAKEAWAYS
➤ 脅威モデルの再考を
➤ 悪意あるユーザ
➤ 端末一時所有は難しくない
→スクリーンロック
➤ 不正端末
→SafetyNet (Android)
➤ バックアップ攻撃
→バックアップの禁止を
→iOS 10未満はサポートしない
→重要情報はKeychainへ
→キャッシュ制御を徹底
The Farewell Forest by Michael Shaheen on flickr, CC-BY-NC-ND 2.0

68. TAKEAWAYS
➤ 脅威モデルの再考を
➤ TLS interception/平文通信
→整合性侵害が本質的問題
→Certificate Pinning
➤ WebViewからのPhishing
→出所か整合性担保が鍵
→Hybrid Appsは特に注意
→ATSの使用
→HPKP/HSTSの使用
→キャッシュ制御を徹底
The Farewell Forest by Michael Shaheen on flickr, CC-BY-NC-ND 2.0

69. TAKEAWAYS
➤ 脅威モデルの再考を
➤ 改竄/静的解析/動的解析
→改竄検知＋難読化
→ログ出力の徹底的な削除
→キーは埋め込まない
→機密のライフタイム管理
徹底
➤ UI操作の自動化
→PINなどもロックアウト
が必要
The Farewell Forest by Michael Shaheen on flickr, CC-BY-NC-ND 2.0

70. RE-HARDENING
the ties that bind by jes on flickr, CC-BY-NC-ND 2.0

71. “This section has been left as an
exercise of a reader.

72. REFERENCES
➤ InsecureBankV2 (hardened)
https://github.com/alterakey/kyusec2018-Android-InsecureBankv2
➤ Trueseeing
https://github.com/monolithworks/trueseeing
➤ apktool
https://ibotpeaches.github.io/Apktool/
➤ android-backup-extractor
https://github.com/nelenkov/android-backup-extractor

73. QUESTIONS?

74. ONE MORE THING ™
Files by Takashi Toyooka on flickr, CC-BY-NC 2.0

75. THE KEYCHAINS
For the Record by Nimfolb on flickr, CC-BY-NC 2.0

76. KEYCHAIN: IOS
➤ 解読
➤ rooted端末の使用
➤ 汚染・解読
➤ re-signing
the ties that bind by jes on flickr, CC-BY-NC-ND 2.0

77. ROOTED DEVICE
➤ 処理可能な端末を持つ攻撃者
が実行
➤ 端末の管理権限を奪取するこ
とでセキュリティ機構を無効
化する攻撃
➤ iOS:
いわゆる “jailbreak”

78. RE-SIGNING
➤ バイナリを持つ攻撃者が実行
(=rooted端末不要)
➤ 署名を置換し、メタデータお
よびバイナリ自体への改竄を
行なう攻撃
➤ 管轄グループを置換し
keychainの盗聴改竄を行なう
➤ resigner: FLOSS! (GPL-3)
https://github.com/
monolithworks/resigner

79. RE-SIGNING
➤ 署名の置換…
➤ Provisioning Profileも当然置換
➤ 動作可能端末の制約を無視！
➤ In-house Distribution Profiles
も使用可

80. RE-SIGNING
➤ ところで:
対象をひそかに置換すると…
➤ データは消える
➤ 更新が止まる
➤ push通知が止まる
→普段なければ気づけない！
➤ 攻撃者が後から不正なdumper
を導入することでkeychainの
内容を窃取改竄可能

81. QUESTIONS?

82. REFERENCES
➤ InsecureBankV2 (hardened)
https://github.com/alterakey/kyusec2018-Android-InsecureBankv2
➤ Trueseeing
https://github.com/monolithworks/trueseeing
➤ apktool
https://ibotpeaches.github.io/Apktool/
➤ android-backup-extractor
https://github.com/nelenkov/android-backup-extractor
➤ resigner
https://github.com/monolithworks/resigner

83. FIN.
Monolith Works Inc.
30.9.2018