Android Application Security Assessment
0 likes•29 views
Документ посвящен оценке безопасности мобильных приложений с акцентом на уязвимости по OWASP Top 10, включая небезопасное хранение данных и аутентификацию. Описаны различные инструменты тестирования, такие как apktool и burpsuite, а также конкретные примеры уязвимостей и методов их анализа. В заключение, подчеркивается важность использования OWASP Mobile Top 10 для оценки и анализа потенциальных уязвимостей.
Android Application Security Assessment
- 1. Android Application Security Assessment Антонишин Михаил Informational security specialist [email protected]
- 2. Вид уязвимости по OWASP Top 10 Mobile M1. Обход архитектурных ограничений (Improper Platform Usage) M2. Небезопасное хранение данных (Insecure Data Storage) M3. Небезопасная передача данных (Insecure Communication) M4. Небезопасная аутентификация (Insecure Authentication) M5. Слабая криптостойкость (Insufficient Cryptography) M6 Небезопасная авторизация (Insecure Authorization) M7 Контроль содержимого клиентских приложений (Client Code Quality) M8 Модификация данных (Code Tampering) M9 Анализ исходного кода (Reverse Engineering) M10 Скрытый функционал (Extraneous Functionality)
- 3. Инструменты тестирования Apktool Adb Dex2jar VCG scanner JD-GUI Genymotion Pidcat Drozer BurpSuite MobSF
- 4. Декомпиляция приложения 1. Apktool 2. Dex2Jar 3. MobSF
- 5. Декомпиляция приложения 1. Apktool 2. Dex2Jar 3. MobSF
- 6. Декомпиляция приложения 1. Apktool 2. Dex2Jar 3. MobSF
- 7. M1.Обход архитектурных ограничений (Improper Platform Usage) Файл манифеста
- 8. M1.Обход архитектурных ограничений (Improper Platform Usage) Уязвимость в WEBVIEW - ПОТЕНЦИАЛЬНАЯ $ grep -nr 'setAllowUniversalAccessFromFileURLs' java_source java_source/com/facebook/react/views/webview/ReactWebViewManager.java:227: public void setAllowUniversalAccessFromFileURLs(WebView webView, boolean bl2) { java_source/com/facebook/react/views/webview/ReactWebViewManager.java:228: webView.getSettings().setAllowUniversalAccessFromFileURLs(bl2); $grep -nr 'setJavaScriptEnabled' java_source java_source/com/facebook/react/views/webview/ReactWebViewManager.java:242: public void setJavaScriptEnabled(WebView webView, boolean bl2) { java_source/com/facebook/react/views/webview/ReactWebViewManager.java:243: webView.getSettings().setJavaScriptEnabled(bl2);
- 9. M2. Небезопасное хранение данных (Insecure Data Storage)
- 10. M2. Небезопасное хранение данных (Insecure Data Storage) Вывод чувствительной информации в лог
- 11. M2. Небезопасное хранение данных (Insecure Data Storage) Место, которое выводит в лог чувствительную информацию
- 12. M3. Небезопасная передача данных (Insecure Communication) OTP возвращается в Response
- 13. M3. Небезопасная передача данных (Insecure Communication) Выполнение транзакций от имени другого пользователя
- 14. M4. Небезопасная аутентификация (Insecure Authentication) Эта категория относится к аутентификации конечного пользователя или неверное управление сеансами. Включает следующие пункты: • Отсутствие требования проверки идентификации пользователя ; • Отсутствие проверки контроля сеанса; • Недостатки управления сессиями.
- 15. M5. Слабая криптостойкость (Insufficient Cryptography Слабый алгоритм хеширования
- 16. M5. Слабая криптостойкость (Insufficient Cryptography Хранение пароля в хешированном виде
- 17. M5. Слабая криптостойкость (Insufficient Cryptography Подбор значения хэш-суммы
- 18. M5. Слабая криптостойкость (Insufficient Cryptography Использование уязвимой библиотеки
- 19. M6. Небезопасная авторизация (Insecure Authorization) Категория описывает недостатки авторизации (проверка (валидация) на стороне клиента, принудительный просмотр и т.д.). Такие события отличаются от проблем аутентификации (например, устройства регистрации, идентификации пользователей и т.д.). Если приложение не проходит проверку подлинности пользователей при необходимости (например, предоставление анонимного доступа к некоторым ресурсам или службам, при отсутствии проверки подлинности и запрета несанкционированного доступа), это является ошибкой проверки подлинности, а не сбоем авторизации.
- 20. M7. Контроль содержимого клиентских приложений (Client Code Quality) Статический анализ VCG scanner
- 21. Проверка на потенциальную инъекцию в БД M8. Модификация данных (Code Tampering)
- 22. Попытка модифицировать данные M8. Модификация данных (Code Tampering)
- 23. M8. Модификация данных (Code Tampering) Исходники реализации метода
- 24. M9. Анализ исходного кода (Reverse Engineering) Реализации метода проверки на включение Developer mode Реализации метода проверки на включение Developer mode grep -nr "development_settings_enabled" ********_v_0.9.2 Binary file: ********_v_0.9.2/build/apk/classes.dex matches ********_v_0.9.2/smali/o/xZ$1.smali:49: const- string v1, "development_settings_enabled"
- 25. M9. Анализ исходного кода (Reverse Engineering) Место проверки в коде Модифицируем
- 26. M9. Анализ исходного кода (Reverse Engineering) Developer mode - включён Запуск приложения
- 27. M10. Скрытый функционал (Extraneous Functionality) Часто разработчики включают в код приложений скрытые функциональные возможности, бэкдоры или другие механизмы, функциональность которых предназначена для общего использования. Под эту категорию подходит известное определение «security through obscurity». Разработчик может случайно оставить пароль в качестве комментария в гибридном приложении. Либо это может быть отключение двухфакторной аутентификации во время тестирования.
- 28. Выводы 1. OWASP Mobile TOP 10 позволяет в цифрах проанализировать колличество потенциальных и реальных уязвимостей. 2. Некоторые уязвимости можно одновременно отнести к разным категориям, что усложняет присвоение статуса критичности. 3. Наглядно продемонстрировал соотношение уязвимостей и инструментов тестирования
- 29. Any questions? Антонишин Михаил Informational security specialist [email protected]