Mobile Application Pentest Eğitimi

Transkript

1 Mobile Application Pentest Eğitimi

2 Android 2003: Android Inc. in kuruluşu 2005: Google a geçişi 2008: İlk,cari mobil Android cihaz

3 Sayılarla Android 900 milyon cihazı ak,vasyonu 1.5 milyon günlük cihaz ak,vasyonu >50 milyar uygulama kurulumu Google Play

4

5 Java VM vs. Dalvik VM

6 Android SDK Android Yazılım Geliş,rme Ki, Android SDK Bileşenleri; SDK Manager: Farklı Android SDK larını yönetme aracı Android (Gingerbread, 2010) API Level 9 Android 3.2 (Honeycomb, 2011) API Level 13 Android (Ice Cream Sandwich, 2011) API Level 15 Android 4.1 (Jelly Bean, 2013) API Level 18 Emulator: Test Android simulatorü AVD Manager: Android Emulator yapılandırma aracı

7 Android Emulator Sanal Android mobil cihazlardır. Geliş,rme ve test amaçları için kullanılır. Cihaz,pleri ve içinde çalışacak Android versiyonları emulatorü oluşturur.

8 AVD Manager Android versiyonu ve cihaz,pi, bir sanal cihazı oluşturur.

9 Yeni Android Device Defini,on Çözünürlük Keyboard yok Direc,onal Pad Emulator RAM büyüklüğü

10 Yeni Android Virtual Device Device Seçimi Hardware Keyboard SD Card Büyüklüğü

11 Emulator w/ Snapshot Eski kaydedilmiş snapshot kullanılmaz Sanal cihazın boyutunun belli bir oranda küçültülmesi Eski kaydedilmiş snapshot kullanılır Değişiklikler snapshot a kaydedilir

12 Android Debug Bridge - adb Android cihazlar veya emulatorler ile ile,şimi sağlayan zengin komut safrı aracıdır. <SDK>/plahorm- tools/adb adb install uygulama.apk adb push <yerel> <uzak> adb pull <uzak> <yerel> adb shell adb logcat

13 Android Sandbox Modeli - ps

14 Android Sandbox Modeli - ls

15 Kurulu Bir Android App İçinde cache/ : cache lenen nesneler databases/ : kullanılan veritabanı shared_prefs/ : basit veri saklama

16 databases/ Android SQLite veritabanı sistemi ile gelir. Hassas veriler açık saklanmamalıdır; kimlik bilgileri, şifreleme anahtarları, kredi kartları

17 shared_prefs/ Basit key:value çinlerini saklamak içindir. Hassas veriler açık saklanmamalıdır; kimlik bilgileri, v.b.

18 LogCat İşlemler için kullanılan kayıt mekanizması Hassas veriler açık bir şekilde kayıt alfna alınmamalıdır; kimlik bilgileri, şifreleme anahtarları, kredi kartları

19 SD Card lar Android dahili veya harici depolama ih,yacını SD Card lar ile sağlar Ancak SD Card üzerindeki kaynaklar geniş dosya hakları ile kullanılırlar

20 Proxy Emulator HTTP Proxy Cihaz

21 SSL/TLS SSL/TLS protokolü, HTTP trafiğinin gizliliğini sağlayan en temel unsurdur.

22 SSL Tokalaşması

23 Güvenilir Ser,fikalar - Browser

24 HTTPS Bağlanflar URL url = new URL("htps:// con = (HtpsURLConnec,on)url.openConnec,on();

25 Güvenilir Ser,fikalar - Android Android sisteminde güvenilir ser,fikalar /etc/security/cacerts.bks Burp SSL ser,fikasını yüklemek için; 1. Browser da htps://hedefsunucu:hedefport açılması 2. CA ser,fikasının der dosyası olarak export edilmesi 3. der dosyasının uzanfsının cer olarak değiş,rilmesi 4. adb push burp.cer /sdcard/burp.cer 5. Emulator/Cihaz da Sewngs- >Security- >Install from SDCARD

26 Yüklenen Ser,fika Sewngs- >Security- >Trusted creden,als

27 Android APN Proxy Ayarları Sewngs Wireless & Networks More Mobile Networks Access Point Names Telkila Dikkat adb bağlan/sı kopabilir! # adb kill- server # adb start- server

28 Android WIFI Proxy Ayarları Sewngs Wireless & Networks WIFI WiredSSID * Modify Network Show Advanced Opt. Manual * WiredSSID üzerine mouse ile basılı tutularak

29 Burp Proxy Ayarları Her Host için ayrı CA imzalı seryfika Bütün interfacelerden dinler

30 Emulatör Komut Safrı AVD manager arayüzünün yanısıra Android emulatör komut safsı aracılığı ile de çalışfrılabilir HTTP Proxy cihaz başlaflırken komut safrından da tanıflabilir emulator - avd MyEmulator - htp- proxy htp:// :8081

31 Android Proje Dizin Yapısı src/ Kaynak kodlar; java,aidl dosyaları gen/ Otoma,k üre,len java dosyaları bin/ APK yı oluşturan derlenmiş dosyalar; dex, xml libs/ Harici kütüphaneler res/ Kaynaklar; imajları, yapılandırma XML leri project.proper,es Hedef Android versiyonu AndroidManifest.xml Uygulama bileşenleri, kullanılacak izinler, v.b.

32 Java APK

33 Android Package - APK UI ile ilgili XML yapılandırma dosyaları, resimler Kriptografik imzalanmış seryfikalar Java class dosyalarının dex forma`na derlenmiş hali Binary forma`nda uygulama bileşenleri, kullanılacak izinler, v.b.

34 APK Dosyasının İmzalanması APK kurulum dosyası, release öncesinde kriptografik olarak imzalanmalıdır. dijital imza ser,fikası self- signed olabilir ser,fikanın geçerlilik süresi kurulum/yenileme zamanında kontrol edilir keytool/jarsigner araçları imzalama işlemi için kullanılırlar imzalar, cihaz üzerinde koşan uygulamalar arası güvenli ile,şimin en önemli kaynaklarındandır

35 İmzalama İşlemleri Yoksa self- signed ser,fikasının oluşturulması 1 keytool.exe - genkey - keystore mykstr - alias myalias - keyalg RSA - validity seryfikanın saklanacağı keystore dosya ismi keystore içindeki seryfikanın alias ı gün geçerlilik süresi

36 İmzalama İşlemleri 2 APK nın imzalanması jarsigner.exe - verbose - keystore mykstr HelloWorld.apk myalias - sigalg MD5withRSA - digestalg SHA1 imzalayacak seryfikayı barındıran keystore imzalanacak APK keystore içinde imza için kullanılacak seryfikanın alias ı

37 İmzalama İşlemleri 3 APK imzasının kontrolü jarsigner.exe - verbose - verify HelloWorld.apk imzası kontrol edilecek APK

38 Android Market Android uygulamaların indirildiği bazı popüler web portallar

39 Android Uygulama İzinleri Kullanıcı android.permission.write_external_storage android.permission.internet... OK Android APP İzin Kontrol İzin Kontrol Internet API Kurulma/Yenileme esnasında uygulamalar kaynaklara erişmek için kullanacakları izin listesini kullanıcının onayına sunarlar. SD CARD API Onay sonrası uygulama, kaynaklara erişim esnasında bir daha bu izinleri kullanıcıya sormaz.

40 AndroidManifest.xml ve İzin Tanımları # aapt.exe dump permissions HerdFinancial.apk package: org.owasp.goatdroid.herdfinancial uses- permission: android.permission.read_phone_state uses- permission: android.permission.internet uses- permission: android.permission.write_external_storage

41 Reversing APK Dalvik executable (classes.dex) - > Java kaynak kodlarına dönüşüm

42 Reversing APK - dex2jar # d2j- dex2jar.bat PlayWithSSL.apk 1 2

43 Reversing APK - apktool # apktool.bat PlayWithSSL.apk 1 2

44 smali? Dex için üre,len assembly/disassembly aracı Aynı zamanda assembly diline verilen isim 1 2 java - jar baksmali jar PlayWithSSL\classes.dex - o smali

45 java - HelloWorld import java.io.printstream; public class HelloWorld { public sta,c void main(string[] paramarrayofstring) { System.out.println("Hello World!"); } }

46 smali - HelloWorld.class public LHelloWorld;.super Ljava/lang/Object;.method public sta,c main([ljava/lang/string;)v.registers 2 sget- object v0, Ljava/lang/System;- >out:ljava/io/printstream; const- string v1, "Hello World!" invoke- virtual {v0, v1}, Ljava/io/PrintStream;- >println(ljava/lang/string;)v return- void.end method

47 apk - > smali - >apk Unzip Baksmali Zip Edit Smali Sign Smali

48 Enjeksiyon - İstemci SQL enjeksiyonu Android uygulamalarda da bulunabilecek bir zafiyet çeşididir.

49 Yetersiz Yetkilendirme - Sunucu Yetkilendirme kontrolleri sunucu tara nda eksiksiz gerçekleş,rilmelidir.

50 Yetersiz Yetkilendirme - Sunucu Yetkilendirme kontrolleri sunucu tara nda eksiksiz gerçekleş,rilmelidir.

51 LogCat Bilgi Sızdırma Yapılan işlemler sonucu hassas bilgiler LogCat mekanizmasında kayıt alfna alınmamalıdır.

52 Güvensiz Veri Saklama Kullanıcı şifreleri, kredi karf numaraları, kişisel bilgiler shared_prefs gibi yapılar açık saklanmamalıdır.

53 Güvensiz Veri Saklama SDCard Android sandbox ının uygulanmadığı güvensiz bir veri alanıdır.

54 Güvensiz Veri Transferi Hassas bilgiler HTTP üzerinden ile,lmemelidir. SSL bağlanf problemler nedeniyle özel sınıflar kullanılmamalıdır. 1 2

55 Android Bileşenler Android uygulamalarında dört temel bileşen Ac,vity kullanıcıların ile,şim kurduğu arayüz Service arkaplanda iş yapan bileşen Content Provider veri sunan servisler, veritabanı Broadcast Receiver iş için komut bekleyen bileşen

56 Intent Bileşenler arası ile,şim Intent ler ile sağlanır Ac,vity Intent Broadcast Receiver

57 Özel veya Açık Bileşenler Uygulamalar bileşenlerini sisteme AndroidManifest.xml dosyası ile tanıfrlar Bileşen tanımlarında export atribute unun değeri True ise veya extra Intent tanımları içeriyorsa, ilgili bileşeni diğer uygulamalar da çağırabilir Özel bir bileşen sadece aynı uygulamadan çağrılabilir

58 Örnek Bileşen Tanımı 1.mydb Content Provider bileşeni export atribute u True olduğundan diğer uygulamalar tara ndan çağrılabilir <manifest > <provider android:name=".mydb" android:exported="true"> <intent- filter> </intent- filter> </provider> </manifest>

59 Örnek Bileşen Tanımı 2.mysmssender Broadcast Receiver bileşeni export atribute u True olmasa da, bir Intent ile te,kleneceğini beyan ewği için açıkfr <manifest > <receiver android:name=.mysmssender > <intent- filter> <ac,on android:name= android.intent.sendsms /> </intent- filter> </receiver> </manifest>

60 Bileşenlerin Yetki Kontrolü Dolayısıyla hassas işlem yapan Açık (Export=True) bir bileşen, diğer uygulamalar tara ndan çağrıldığında yetki kontrolü yapmalıdır A yetkili midir? A B

61 Güvensiz IPC Componentlar arasındaki gerekli yetkilendirme kontrolleri gerçekleş,rilmelidir.

62 Güvensiz IPC Önlem 1 normal permission kontrolü 3 <uses- permission android:name="permission" A yetkili midir? A B 1 <permission android:name="permission" /> <receiver 2 android:permission="permission"

63 Güvensiz IPC Önlem 2 3 permission protecyonlevel ipucu <uses- permission android:name="permission" Sadece A mı yetkilidir? A B 1 <permission android:name="permission" android:protectionlevel="signature" /> <receiver 2 android:permission="permission"

64 Güvensiz IPC Önlem 3 hardcoded signature kontrolü A gerçek midir? A B packageinfo = pm.getpackageinfo(a_pkgname, PackageManager.GET_SIGNATURES); String A_SIGNATURE = " "; for (Signature signature : packageinfo.signatures) if (signature.tocharsstring().equals(a_signature)) { }

65 Yetersiz An,- Otomasyon Özellikle login işlemleri, deneme- yanılma saldırılarına açık olmamalıdırlar.

66 Memory Analizi Eclipse MAT ile uygulamaların heap memory analizi gerçekleş,rilebilir.

67 DDMS Ekranı - Hprof Dump

68 MAT Ekranı - Dominator Tree

69 MAT Ekranı - DT - List Objects

70 MAT Ekranı - DT - List Objects

71 SMALI - Log Injec,on APKSmash iki amaç için kullanılabilir; Hedef APK içerisinde telefon numaraları, IP adresleri, URL leri ve kayıt işlemlerine ait incelenebilecek bazı bilgileri Hedef uygulamayı patchleyerek run,me da LogCat mekanizmasına bir çok kayıt aflmasını sağlar. Bu şekilde uygulama hakkında detaylı bir çok dinamik bilgi elde edilebilir

72 SMALI - Log Injec,on APKSmash için ilogger ve APKTool araçları gerekmektedir Hedef uygulamanın APK sı belirlendikten sonra; 1. apktool ile decode edilir 2. apksmash.py, decode edilen dizinde, kod içerisinde aşağıdaki değişiklik ile çalışfrılır JonestownThisAPK = FalseTrue

73 SMALI - Log Injec,on 3. Aynı dizinde oluşturulan apk- ig- info.txt dosyası ilginç bazı bulgular için analiz edilebilir 4. Kayıt enjeksiyonu için iglogger.smali dosyası smali dizinine kopyalanır 5. apktool kullanılarak dizin build edilir ve imzalanır 6. Elde edilen apk, emulator e kurulduktan sonra çalışfrmadan önce incelenmek için adb logcat açılır 7. adb logcat çıkfları, uygulama kullanıldıkça izlenir

74 SMALI - Log Injec,on apksmash ile enjekte edilen log metotları, logcat ile hassas bazı bilgileri açığa çıkarabilir

75 CCRAWL - Kaynak Kod Analizi Kaynak kodu elde olan veya decompile edilebilen Android uygulamalar için kaynak kod analizi ile hızlı bir dene,m gerçekleş,rilebilir Açık kaynak kodlu CCRAWL Android uygulamalarında probleme yol açabilecek bazı API ları otoma,k olarak göstermektedir

76 CCRAWL - Android APIs Privacy Viola,on Log SQL Injec,on rawquery, query Eksik BroadcastReceiver İzinleri registerreceiver, sendbroadcast, sendorderedbroadcast Kod Enjeksiyonu DexClassLoader

77 CCRAWL - Android APIs SDCard Dosya İşlemleri android.permission.write_external_storage android.permission.read_external_storage getexternalstoragedirectory Şüpheli Geo- Lokasyon İşlemleri android.permission.access_coarse_location android.permission.access_fine_location requestloca,onupdates, getlastknownloca,on

78 CCRAWL - Android APIs Süpheli SMS İşlemleri android.permission.send_sms android.permission.write_sms sendtextmessage( content://sms/inbox Özel SSL Dene,mi SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER checkservertrusted, checkclienttrusted sethostnameverifier, AllowAllHostnameVerifier

79 CCRAWL - Android APIs Bilgi İfşası setdata, getdata, putextra, getextras XSS setjavascriptenabled, addjavascriptinterface Hassas İşlemler getcallstate, getcellloca,on, getdeviceid, getline1number, getsimserialnumber, Intent.ACTION_CALL, SmsManager, ContactsContract, Loca,onManager